Was ist eigentlich ein Drive-by-Download?

Im Rahmen von Security-Vorfällen und Awareness-Kampagnen fällt immer wieder der Begriff Drive-by-Download. Aber was genau ist das eigentlich? Und wie kann man sich davor schützen?

Was bedeutet „Drive-by-Download“?

Der Name deutet schon ziemlich genau an, worum es sich handelt: im „Vorbeifahren“ wird ohne aktive Kenntnis des Nutzers eine Datei heruntergeladen.

„Vorbeigefahren“ bezieht sich hierbei auf den Besuch einer Website. Die Länge dieses Besuches ist dabei egal und angeklickt werden muss auch nichts. Bei der Datei, die Heruntergeladen wird, handelt es sich in den meisten Fällen um Schadsoftware, wie zum Beispiel Ransomware.

Wie häufig sind Drive-by-Downloads?

Die Verbreitung von Drive-by-Downloads ist in den letzten Jahren gestiegen. Tatsächlich sogar soweit, dass sogar davon gesprochen wird, dass Drive-by-Downloads die E-Mail als häufigsten Infektionsweg für Malware abgelöst haben.

Beide Infektionswege können aber auch zusammenhängen: eine Art und Weise Nutzer in die Falle zu locken und nicht nur auf pures Glück zu hoffen, ist die Verbreitung eines infizierten Links per E-Mail.

Wie funktioniert der Drive-by-Download?

Die Webseiten sind häufig infiziert ohne, dass der Betreiber sowie der Nutzer davon Kenntnis haben. Der Download geschieht im Hintergrund und wird im Normalfall nicht bemerkt. Damit diese Vorgehensweise funktioniert, werden Sicherheitslücken in Software ausgenutzt.
Besonders Plugins wie Java und Adobe Flash Player sind oft betroffen, da sie eine Kommunikation zwischen Browser und Server voraussetzen, um bestimmte Bereiche einer Website zu laden. Hat ein solches Programm eine Sicherheitslücke, da zum Beispiel ein Patch nicht rechtzeitig eingespielt wurde, kann die Schadsoftware ohne weitere Aktion des Nutzers auf das Zielsystem geladen werden.

Was geschieht nach dem Drive-by-Download?

Was nach dem Download geschieht, kommt auf die Art der heruntergeladenen Schadsoftware an.

Handelt es sich um Ransomware, so macht diese sich relativ schnell bemerkbar, indem sie Daten verschlüsselt und dem Nutzer eine Erpresser-Nachricht mit Forderung anzeigt.

Andererseits gibt es auch Schadsoftware, die sich, auf dem Zielsystem angekommen, erstmal nicht zeigt. Sie setzt sich erst einmal zur Ruhe und schaut sich nach weiteren Verbreitungswegen um. Dies nennt man einen APT, kurz Advanced Persistent Threat. Was ein Advanced Persistent Threat ist, hat mein Kollege in seinem Blogbeitrag bereits erklärt.

Wie schütze ich mich vor einem Drive-by-Download?

Um sich vor einem Drive-by-Download zu schützen gibt es verschiedene Möglichkeiten:

  1. Zum Schutz gegen Drive-by-Downloads empfiehlt es sich Browser-Updates und Updates von Plugins so schnell wie möglich nach Verfügbarkeit einzuspielen.
  2. Eine weitere Möglichkeit ist es Java-Plugins und den Adobe Flash-Player abzuschalten.
  3. Ebenso kann man sich durch eine Sandbox schützen. Diese öffnet heruntergeladene Dateien erst einmal in einem abgesicherten Bereich. Zwei mögliche Anbieter von Sandboxen sind Check Point mit SandBlast und Sophos mit Sandstorm.
  4. Es gibt auch Lösungen, die mehrere Module vereinen, wie zum Beispiel Privilege Management, Application Control und Content Isolation.
  5.  Und last but not least: Aufmerksamkeit schadet wie immer auch in diesem Fall nicht:
  • Klicken Sie nicht auf unbekannte Links.
  • Spielen Sie Software-Updates so zeitnah wie möglich ein.
  • Überlegen Sie sich, wem und wofür Sie Administratorrechte
  • Schauen Sie sich den Absender von E-Mails ganz genau an.

Schauen Sie sich auch unsere anderen Beiträge aus der Reihe „Was ist eigentlich…“ an!

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *