Drive-by-Download

Ein Drive-by-Download ist das unbewusste ({{#invoke:Vorlage:lang|full|CODE=en|SCRIPTING=Latn|SERVICE=englisch}} ‚im Vorbeifahren‘) und unbeabsichtigte Herunterladen (Download) von Software auf einen Rechner. Unter anderem wird damit das unerwünschte Herunterladen von Schadsoftware allein durch das Aufrufen einer dafür präparierten Website bezeichnet.<ref>Konrad Lischka: Online-Durchsuchungen: Experten nehmen Bundes-Trojaner auseinander, spiegel.de, 29. August 2007: „Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Webseite.“</ref> Dabei werden Sicherheitslücken des Browsers oder des Betriebssystems ausgenutzt, denn laut Definition sollte mit HTML-Inhalten oder Browser-Skriptsprachen ein Zugriff außerhalb der Browser-Umgebung ohne Benutzerinteraktion nicht möglich sein.<ref><templatestyles src="Webarchiv/styles.css" />{{#if:20090204062847

      | {{#ifeq: 20090204062847 | *
    | Vorlage:Webarchiv/Wartung/Stern{{#if: Windows IT library: JavaScript security | {{#invoke:WLink|getEscapedTitle|Windows IT library: JavaScript security}} | {{#invoke:Webarchiv|getdomain|http://www.windowsitlibrary.com/Content/1160/22/1.html}} }} (Archivversionen)
    | {{#iferror: {{#time: j. F Y|20090204062847}}
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/DatumDer Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
         | {{#if: Windows IT library: JavaScript security | {{#invoke:WLink|getEscapedTitle|Windows IT library: JavaScript security}} | {{#invoke:Webarchiv|getdomain|http://www.windowsitlibrary.com/Content/1160/22/1.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y|20090204062847}} im Internet Archive{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
      }}
  }}
      | {{#if:
          | {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
    | {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
       | 16= {{#if: Windows IT library: JavaScript security | {{#invoke:WLink|getEscapedTitle|Windows IT library: JavaScript security}} | {{#invoke:Webarchiv|getdomain|http://www.windowsitlibrary.com/Content/1160/22/1.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | 9 = {{#if: Windows IT library: JavaScript security | {{#invoke:WLink|getEscapedTitle|Windows IT library: JavaScript security}} | {{#invoke:Webarchiv|getdomain|http://www.windowsitlibrary.com/Content/1160/22/1.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!Vorlage:Webarchiv/Wartung/webcitation{{#if:  || }}
      }}
    | c|{{{webciteID}}}}} {{#if: Windows IT library: JavaScript security | {{#invoke:WLink|getEscapedTitle|Windows IT library: JavaScript security}} | {{#invoke:Webarchiv|getdomain|http://www.windowsitlibrary.com/Content/1160/22/1.html}} }} (Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
  }}
          | {{#if: 
              | Vorlage:Webarchiv/Today
              | {{#if:
                      | Vorlage:Webarchiv/Generisch
                      | {{#if: Windows IT library: JavaScript security | {{#invoke:WLink|getEscapedTitle|Windows IT library: JavaScript security}} | {{#invoke:Webarchiv|getdomain|http://www.windowsitlibrary.com/Content/1160/22/1.html}} }}  
                 }}}}}}}}{{#if:
    | Vorlage:Webarchiv/archiv-bot
  }}{{#invoke:TemplatePar|check
     |all      = url=
     |opt      = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
     |cat      = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
     |errNS    = 0
     |template = Vorlage:Webarchiv
     |format   = *
     |preview  = 1
  }}{{#ifexpr: {{#if:20090204062847|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
  }}{{#if: 
    | {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
        | web.archive.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}} 
        | webcitation.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}} 
        | archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
      }}{{#if: 
         | {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}}
             | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
          |  }} 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
      }}
    | {{#if: 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
      }}
  }}{{#if:{{#invoke:URLutil|isHostPathResource|http://www.windowsitlibrary.com/Content/1160/22/1.html}}
    || {{#if:  || }} URL/Pfad ungültig.
  }}{{#if: Windows IT library: JavaScript security
    | {{#if: {{#invoke:WLink|isBracketedLink|Windows IT library: JavaScript security}}
        | {{#if:  || }} Linktext ungültig.
      }}
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Linktext_fehlt Linktext fehlt.
  }}{{#switch: 
    |addlarchives|addlpages= {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/Parameter}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
  }}{{#ifeq: {{#invoke:Str|find|http://www.windowsitlibrary.com/Content/1160/22/1.html%7Carchiv}} |-1
    || {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://www.windowsitlibrary.com/Content/1160/22/1.html%7C4}}%7Chttp}} |-1
         || {{#switch: {{#invoke:Webarchiv|getdomain|http://www.windowsitlibrary.com/Content/1160/22/1.html }}
              | abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org = 
              | #default = {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/URL}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
            }} 
       }}
  }}, Juni 2004 (englisch)</ref>

Manipulation von Webseiten

In vielen Fällen werden von den Angreifern gezielt Webseiten ohne Wissen der Betreiber manipuliert, indem etwa bekannte Schwachstellen bei verbreiteten Webanwendungen ausgenutzt werden.<ref>Groß angelegter Hacker-Angriff auf europäische Webseiten, golem.de, 19. Juni 2007</ref><ref> Daniel Bachfeld: Report: Bösartige Webseiten sind wählerisch, heise.de, 4. Juni 2007</ref> Diese manipulierten Webseiten führen dann in Verbindung mit offenen Sicherheitslücken im Browser oder im Betriebssystem zur unbemerkten Ausführung von Schadsoftware auf dem Computer des Benutzers.<ref>Johannes Endres: Zero-Day-Exploit für Internet Explorer breitet sich aus, heise.de, Security, 13. Dezember 2008</ref>

Verbreitung

IT-Sicherheits-Unternehmen berichten, dass eine Vielzahl von Webseiten durch schädliche Software infiziert sei.<ref>Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wang and Nagendra Modadugu: The Ghost In The Browser: Analysis of Web-based Malware, usenix.org</ref><ref>{{#if: | [[{{{authorlink}}}|Vorlage:Cite book/Name]] | Vorlage:Cite book/Name

  }}Vorlage:Cite book/NameVorlage:Cite book/NameVorlage:Cite book/NameVorlage:Cite book/NameVorlage:Cite book/NameVorlage:Cite book/NameVorlage:Cite book/Name{{#if: 
    | {{#if:  | , {{{coauthors}}}:  | :  }}
    | {{#if:  | {{{coauthors}}}:  }}
  }}{{#if: http://news.bbc.co.uk/2/low/technology/6645895.stm
    |  Vorlage:Cite book/URL{{#switch: 
              | unfit | usurped = {{#if: Google searches web's dark side |   Google searches web's dark side | ?}}
           }}
    | {{#if: Google searches web's dark side |  Google searches web's dark side }}
  }}{{#if:  |  ( }}{{#if:  | Originaltitel: {{{script-title}}} }}{{#if:   | {{#if:  | ,  }}deutsch: {{{trans-title}}} }}{{#if:  | ) }}{{#if: http://news.bbc.co.uk/2/low/technology/6645895.stm
    | {{#switch: 
        | unfit
        | usurped  = 
        | #default = {{#if:  |  ({{{format}}}) }}{{#if: BBC News |  In: BBC News }}
      }}
  }}{{#if:   | , {{{publisher}}} }}{{#if: 2007-05-11 | , {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}} | 2007-05-11 }} }}{{#if:  | , S.  }}{{#if:  | . {{{id}}} }}{{#if: 
    | {{#ifeq:  | 2007-05-11
        | | . Abgerufen {{#if: Vorlage:Str match|am|im}} {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}}
                  | 
               }}
      }}
  }}{{#switch: en
     |de |deutsch |=
     |#default=  (english).
  }}{{#if:  |  „{{{quote}}}“ }}Vorlage:Cite book/URL {{#invoke:TemplatePar|check
   |all      = title=
   |opt      =  script-title= trans-title= author= authorlink= last= first= last1= first1= last2= first2= last3= first3= last4= first4= last5= first5= last6= first6= last7= first7= last8= first8= archivedate= archiveurl= archive-date= archive-url= url= url-status= language= format= work= newspaper= publisher= date= page= pages= id= accessdate= access-date= quote=  author-link1= author-link2= author-link3=author-link4= author-link5= display-authors= author-mask= name-list-style= year= orig-year= script-title= trans-title= editor1-last= editor1-first= editor1-link= editor2-last= editor2-first= editor2-link= editor3-last= editor3-first= editor3-link= editor4-last= editor4-first= editor4-link= editor5-last= editor5-first= editor5-link= display-editors= department= type= series= volume= issue= others= edition= location= publication-date= agency= at= arxiv= asin= bibcode= doi= doi-broken-date= isbn= issn= jfm= jstor= lccn= mr= oclc= ol= osti= pmc= rfc= ssrn= zbl= via= postscript= ref= display-subjects= interviewer-given= interviewer-surname= orig-date= quote-page= quote-pages= sbn= script-quote= subject-mask= s2cid= s2cid-access= title-link= trans-quote=  coauthors= offline= archivebot= 
   |cat      = Wikipedia:Vorlagenfehler/Vorlage:Cite news
   |errNS    = 0
   |template = Vorlage:Cite news
   |format   = @@@
   |preview  = 1
  }}Vorlage:Cite book/URL{{#if: Vorlage:Cite book/ParamBool
    | Vorlage:Cite book/Meldung
  }}{{#if: Vorlage:Cite book/ParamBool
    | Vorlage:Cite book/Meldung
  }}Vorlage:Cite book/Meldung2{{#ifexpr: ({{#ifeq:^^|^^|0|1}}+{{#ifeq:^^|^^|0|1}}+{{#ifeq:^^|^^|0|1}}) > 1
    | Vorlage:Cite book/Meldung
  }}{{#ifexpr: {{#ifeq:^^|^^|0|1}}{{#ifeq:^^|^^||+1}} > 1
    | Vorlage:Cite book/Meldung
  }}{{#ifexpr: {{#ifeq:BBC News|^^|0|1}}{{#ifeq:^^|^^||+1}} > 1
    | Vorlage:Cite book/Meldung
  }}{{#ifexpr: {{#ifeq:^^|^^|0|1}}{{#ifeq:^^|^^||+1}} > 1
    | Vorlage:Cite book/Meldung
  }}{{#ifexpr: {{#ifeq:^^|^^|0|1}}{{#ifeq:^^|^^||+1}} > 1
    | Vorlage:Cite book/Meldung
  }}{{#ifexpr: {{#ifeq:^^|^^|0|1}}{{#ifeq:^^|^^||+1}} > 1
    | Vorlage:Cite book/Meldung
  }}{{#ifexpr: {{#ifeq:^^|^^|0|1}}{{#ifeq:^^|^^||+1}} > 1
    | Vorlage:Cite book/Meldung
  }}</ref>

Diese Methode nehme seit 2007 ständig zu und habe mittlerweile E-Mail als Hauptverbreitungsmethode für Schadsoftware verdrängt. Täglich kämen mehrere Tausend betroffene Webseiten hinzu.<ref>Daniel Bachfeld: Sophos: 30.000 neu infizierte Webseiten pro Tag., heise.de, 26. Juli 2007</ref><ref>Virenjäger Kaspersky: "Apple-Nutzer tragen Hawaii-Hemden", spiegel.de, 10. April 2008: „Virenjäger Kaspersky: „[…] die Zeit der E-Mail-Viren ist vorbei. […] Heute braucht niemand mehr eine E-Mail, um einen Virus in Umlauf zu bringen. Kriminelle verteilen ihre Viren über gekaperte Web-Seiten: Da reicht schon der Besuch, um den Rechner zu infizieren. Sie verbergen ihre Programme in Multimediadateien und bringen die über Social Networks in Umlauf. Sie hinterlassen Links in Gästebüchern oder bei Wikipedia, und wenn man darauf klickt, fängt man sich etwas.““</ref>

Technik

Heute beinhalten Webseiten häufig dynamische Funktionen, die durch clientseitige Technologien wie JavaScript (auch als Teil von Ajax), Java, Adobe Flash realisiert sind. Diese Techniken erlauben eine ständige Kommunikation zwischen Browser und Server, ohne dass der Benutzer eine Aktion durchführen muss. Dies wird unter anderem eingesetzt, um Werbebanner auszutauschen, Listen zu laden oder Daten an den Server zu übertragen. Üblicherweise werden diese Aktionen im Browser in einer Sandbox ausgeführt. Wenn aber der Browser oder die vom Browser benutzten Betriebssystembibliotheken eine Sicherheitslücke aufweisen, können Programme aus dieser Sandbox ausbrechen und direkt auf den Computer des Benutzers zugreifen. Dadurch ist es möglich, dass Schadsoftware ohne Mitwirkung des Benutzers auf dessen Computer ausgeführt wird.

Schutz

Zum Schutz gegen ungewollte Drive-by-Downloads hilft es, immer die aktuelle Version des Browsers zu verwenden, Plugins wie Adobe Flash sowie den Adobe Reader immer auf dem neuesten Stand zu halten oder zu deaktivieren und diese Plugins ausschließlich von der offiziellen Seite des Herstellers zu beziehen<ref>Daniel Bachfeld: Zweifelhafte Antiviren-Produkte, heise Security, 25. Oktober 2008</ref>. Insbesondere im kommerziellen Umfeld werden diese Plugins sowie für diese bestimmte Inhalte und Scripte auch auf Ebene der IT-Administration abgeschaltet oder gefiltert. Auch Java-Plugins zu deaktivieren, gar nicht erst zu installieren oder aktuell zu halten, vermindert die Wahrscheinlichkeit eines Befalls.

Viele Infektionen durch Drive-by-Downloads finden nicht direkt über die angesteuerte Webseite statt, sondern durch externe, meistens kompromittierte Webseiten, die für den Benutzer unbemerkt über Scripte nachgeladen werden. Bestimmte Browser-Plug-ins verhindern das Nachladen dieser Scripte und führen sie erst nach expliziter Freigabe durch den Anwender aus, etwa NoScript für Firefox<ref>René Hifinger: Drive-by-Downloads und wie Sie sich davor schützen, bundespolizei-virus.de, 26. Januar 2023</ref> oder die für unterschiedliche Browser verfügbaren Plugins uMatrix oder FlashBlock.

Eine weitere Möglichkeit besteht in der Verwendung einer Sandbox. Der Internetanwendung wird dabei ein definierter Speicherbereich für deren Ausführung und alle Ausgaben zugewiesen. Dadurch werden andere Speicherbereiche vor dem Überschreiben geschützt und das Ausnutzen von Speicher- und Pufferüberläufen deutlich erschwert.

Die Nutzung der Internetsoftware mit eingeschränkten Benutzerrechten erhöht ebenfalls die Sicherheit. Jedoch können bestimmte Sicherheitslücken trotz eingeschränkter Rechte einem Angreifer das Ausführen beliebigen Schadcodes ermöglichen, wodurch der Angreifer schließlich Administratorprivilegien erlangen kann.

Einzelnachweise

<references />