Welchen Schutz gibt es gegen schädliche Skripte in kompromittierten Webseiten

Im Gespräch über Angriffe und Bedrohungen, denen User tagtäglich ausgesetzt sind, begegnen einem immer wieder die vorhersagbaren Kompromittierungen. Dazu gehören zum Beispiel schädliche Dateien, die per E-Mail-Anhang verschickt werden. Obwohl diese Bedrohungen immer noch sehr präsent sind (zum Beispiel bei verschiedenen Ransomware – Varianten), nutzen Cyber-Kriminelle aber auch viele andere Angriffsmethoden. Einige der gefährlichsten basieren auf Skripten. Diese sind für Nutzer besonders schwierig zu erkennen.

Wie funktionieren schädliche Skripte?

Bösartige Skripte sind Code-Fragmente, die in ansonsten legitimen Webseiten versteckt sind – also die Sicherheitsschranken der Seite umgehen konnten. Sie sind perfekte Köder, die nicht verdächtig zu sein scheinen, weil Opfer davon ausgehen, dass sie eine vertrauenswürdige Seite besuchen. Cyber-Kriminelle können Schadcode auf den Systemen der Benutzer ausführen, indem einige Sicherheitslücken in Browsern, im Betriebssystem selbst, oder in Anwendungen von Drittanbietern ausgenutzt werden.

Aktuelle Beispiele zeigen, dass Cyber-Kriminelle bekannte Exploit-Kits schon seit Jahren verwenden, um Infektions-Prozesse zu automatisieren. Ihre Vorgehensweise ist relativ einfach – sie umgehen die Sicherheit einer legitimen Webseite (oder erstellen eine bösartige Website und leiten die User anschließend von anderen Seiten um) und installieren ein bekanntes Exploit-Kit. Von da an können Schwachstellen in den Systemen der Nutzer erkannt und ausgenutzt werden. Auch Webseitenbesuche können dadurch automatisiert ablaufen.

Das kann man in Malvertising-Kampagnen beobachten, wo Anzeigen auf kompromittierten Webseiten gezeigt werden, die bösartigen Code beinhalten. Über das Aufrufen einer Website erlangen die Cyber-Kriminellen die Kontrolle über das Gerät. Das benutzen sie wiederum für Angriffe auf andere.

Schuld daran ist wie so oft JavaScript. Der normalerweise verschleierte Code, ist verantwortlich für das Herunterladen und Ausführen einer Nutzlast. Dieser sogenannte Payload ist ein Stück bösartiger Code, der Sicherheitslücken ausnutzt und das System des Anwenders mit der Malware infiziert, die der Cyber-Kriminelle gewählt hat. Diesen gesamten Vorgang bemerkt der User in der Regel nicht, wenn er im Internet surft. Insgesamt stellt das ein erhebliches Risiko dar.

Der Grund für automatisches Ausführen eines solchen Codes ohne Benutzereingriff liegt in den Berechtigungen, die im System konfiguriert sind. Die Mehrheit der Benutzer arbeitet und surft mit Administratorrechten unter ihrem Windows-System. Dabei ist das völlig unnötig in den meisten Situationen des täglichen Lebens.

Zusammen mit den schlechten Konfigurationen von Sicherheitsmaßnahmen im Windows-System, wie zum Beispiel der Benutzerkontensteuerung (UAC), ermöglicht das bösartigen Skripten jeden Tag hunderttausende Computer zu kompromittieren.

Viele der Infizierungen per JavaScript könnten verhindert werden, wenn User ihre Sicherheitseinstellungen auf mittel / hoch einstellen würden. Die dann auftretenden Windows-Hinweisfenster sollten aufmerksam gelesen und nicht einfach mit „OK“ weggeklickt werden.

So schützt man sich vor bösartigen Skripten

Um diese Art von Angriffen zu verhindern, müssen die Benutzer berücksichtigen, dass es keine absolut sichere Website im Internet gibt. Folglich muss man selbst Maßnahmen ergreifen, um sich zu schützen. Bedeutsam ist jetzt vor allem das Aktualisieren des Betriebssystems und aller Anwendungen, die besonders anfällig für Script-Angriffe sind. Dazu gehören der Browser, Flash Player und Java. Doch manchmal ist das nicht genug. Eine proaktive Sicherheitslösung erkennt diese Art von bösartigen JavaScript – auch diejenigen, die PowerShell verwenden.

Fazit

Es liegt klar auf der Hand, dass Cyber-Kriminelle schon seit Jahren schädliche Skripte verwenden, um allerhand Arten von Bedrohungen wie Trojaner, Ransomware oder Bots zu verbreiten. Doch es gibt Sicherheitsmaßnahmen, die zumindest die Auswirkungen dieser Angriffe mildern können. Man sollte jetzt aktiv werden und als erstes sein Windows-Benutzerkonto von Administratorrechten befreien. Danach können die Browser-Sicherheitseinstellungen angepasst werden. Es empfiehlt sich, eine mittlere bzw. hohe Sicherheitsstufe auszuwählen. Damit erlangt man mehr Kontrolle über sonst verborgene automatische Vorgänge beim Surfen. Es gilt außerdem: Erst Denken dann Klicken.

Autor , ESET