Trojaner durch Websites - drive by download

[BloodRocks]

Bringen eigentlich Backups etwas gegen Trojaner?

 

[.one]

Du stellst komische Fragen. Sie schützen dich vor Datenverlust und im Fall des Falles werden sie eingespielt. Trojaner können auch gerne mit gebackupt werden. Daher spielt man sie im Fall eines Befalls nicht direkt auf, sondern über einen Scanner.

Not sure. Troll?

 

[gymfan]

aber China hatte vor wenigen Jahren noch eine Reihe von unbekannten Sicherheitslücken verwendet, über die mehrere aktuelle iPhones und Android Modelle schon beim Ansurfen einer Website infiziert wurden. Ob auch Windows10 betroffen war, das weiß ich nicht mehr.

Das müssen schon einige unabhängige Lücken gewesen sein. Die Apple-Safari-Engine ist auf dem iPhone Pflicht aber unter Android und auf dem PC quasi nicht (mehr) existent. Aber wer weiss, wie steinalt die Browser auf dem Desktop waren, bei Android akzeptieren das viele User ja einfach.

1. Ziehe beim Zitieren nicht irgendwas aus dem Kontext.

Ohne auch nur im Ansatz zu wissen, was da bei Dir geblockt wurde, kann die Story stimmen oder auch nicht. Klar kann der Browser dazu bewegt werden, im Kontext der Webseite ein JS zu laden, welches er im Kontext des Browsers ausführt (wie die zeitweise wohl mal üblichen Crypto-Generatoren). Und wenn der User zu faul dazu ist, den Browser zu beenden, weil der Energiesparmodus vom OS reicht ja, dann läuft das Skript (immer noch im Kontext des Browsers) auch am kommenden Tag im Hintergrund weiter und verbrät dabei Rechenleistung und Strom. Sowas fällt aber jedem auf, der auch nur gelegentlich in den Taskmanager schaut oder keinen lautlosen PC hat. Das war es auch schon. Das Skript hat, ohne 0-Day Lücke(n), keinen Zugriff auf das lokale System und darf noch nicht einmal viel mehr wie ein paar private Cookies speichern.

Sowas darst Du jetzt gerne als Trojaner bezeichnen, das lokale System und die lokalen Daten sind trotzdem vor sowas sicher. Ohne ein paar Bugs im Browser oder Userinteraktion schafft es das Skript noch nicht einmal, den Neustart des Browsers zu überleben.

Solche Sachen, wie sie früher mal mit Flssh und Java im Browser möglich waren, sind lange vorbei.

Bringen eigentlich Backups etwas gegen Trojaner?

Hängt halt davon ab, wie oft Du Backups machst und wie lange Du diese auf welche Weise aufhebst.

Tag 1: Backup 1
Tag 2: Trojaner eingefangen, aber nicht bemerkt
Tag 2: Backup 2
Tag 3: Backup 3, und da Du dabei sparen willst, wird Backup 1 gelöscht (2 Backups reichen ja)
Tag 4: Du merkst endlich, dass Du dir einen Trojaner eingefangen hast.
Bingo, Du hast kein Backup mehr, in dem der Trojaner nicht enthalten ist.
Löschst Du die alten Backups erst nach 7 Tagen, hättest Du in diesem Szenario ein Backup ohne Trojaner. falls nicht das nächste Szenario anwendbar ist.

Ähnliches Szenarion:
Tag 1: Backup 1 (auf einer HDD, die immer erreichbar ist)
Tag 2: Backup 2 (auf einer HDD, die immer erreichbar ist)
Tag 3: Trojaner eingefangen, er vrschlüsselt/löscht sofort alles, was er erreichen kann.
Bingo, das Backup ist auch verschlüsselt/gelöscht

Irgendwie klingt das für mich alles zu logisch, als dass jemand, der sich über Backups und Trojaner Gedanken macht, nicht selber darauf kommen würde.

 

[BeBur]

Das müssen schon einige unabhängige Lücken gewesen sein. Die Apple-Safari-Engine ist auf dem iPhone Pflicht aber unter Android und auf dem PC quasi nicht (mehr) existent. Aber wer weiss, wie steinalt die Browser auf dem Desktop waren, bei Android akzeptieren das viele User ja einfach.

Ja, sie verwendeten ein Dutzend 0Days, von denen einige zwischendurch gepatcht wurden, andere aber nicht. Hatte nichts mit fehlenden Updates zu tun, das funktionierte für aktuelle Smartphones mit aktuellen Browsern.
Habe jetzt eine Quelle gefunden Link.

There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, and if it was successful, install a monitoring implant. We estimate that these sites receive thousands of visitors per week.


TAG was able to collect five separate, complete and unique iPhone exploit chains, covering almost every version from iOS 10 through to the latest version of iOS 12. This indicated a group making a sustained effort to hack the users of iPhones in certain communities over a period of at least two years.

This operation used fourteen zero-days exploits. It used them indiscriminately. And it remained undetected for two years.

Subsequent reporting added that malware against Android phones and the Windows operating system were also delivered by those websites.

Hatte mir damals ein paar technische Details angeschaut wie so eine exploit chain abläuft, die einfach mal alle Sicherheitsmechanismen aushebelt und direkt ein Smartphone infiziert. War recht abgefahren und ich erinnere mich nicht wirklich, leider.

Ich will aber explizit sagen, dass ich dir in der Sache nicht widerspreche. Solche Dinge können passieren, aber generell ist browsen sehr sicher und man fängt sich nicht mal eben nur durch ansurfen einer website einen virus ein. Der Hack auf den ich oben Bezug nehme ist schon sehr herausragend und sowas können quasi nur state-actors durchführen. Also Länder wie z.B. also USA, China, Russland, Iran, Israel.

 

[DerRobert94]

Gibt es unter diesem Gesichtspunkt aktuelle Untersuchungen welche Browser man da eher nutzen sollte und welche nicht? Für mich wäre zum Beispiel ein Kriterium die Verfügbarkeit von ublock Origin.

Da wärst du gut beraten einen zu nehmen den nicht die breite Masse nutzt. Mit anderen Worten kein Chromium basierter Browser. Mit anderen Worten kein Microsoft Edge und kein Google Chrome. Mit anderen Worten einen Firefox-basierten. UBlock Origin soll in Chrome bald blockiert/eingeschränkt werden, umso mehr ein Grund für Firefox.

Windows Updates hingegen beschützen dich vor gar nichts. Damit es da zur Ausbeutung kommt muss schon explizit eine Sicherheitslücke im Browser, Router oder Brain.exe ausgenutzt worden sein. Das ist ziemlich unwahrscheinlich und wenn dann wirst du entweder davon überhaupt nichts jemals merken oder es wird immer wieder passieren da Brain.exe jede andere Sicherheitsmechanismen aushebelt.

Das wichtigste wurde schon genannt: Browser-Updates!
Bei Firefox gibt es ESR Versionen, ähnlich LTS, da gibts nur Sicherheitsupdates und Features werden ignoriert.

Ergänzung (23. Juli 2023)

Weil deine ganzen Beiträge nur auf eins zielen.

Einen Troll zu fragen ob er trollt ist ähnlich sinnvoll wie einen Lügner zu fragen ob er die Wahrheit sagt.
Ignoriere einfach seinen komischen Kram, vielleicht ist er auch Autist (also wirklich jetzt, nicht als Beleidigung.)

 

[andy_m4]

Ziehe beim Zitieren nicht irgendwas aus dem Kontext.

Sag mir was wo. Ansonsten ist das ne sinnfreie Information.

Da vertraue ich dem Virenscanner doch mehr als irgendwelche Heinis, die mir sagen, über Werbung kann nichts an Malware kommen. Malvertising müsste Dir doch ein Begriff sein, oder?

Ich verstehe nicht, was Du mir sagen willst. Malvertising ist mir ein Begriff. Aber das ändert nix an meiner Aussage.
Was Antivirensoftware angeht wurde das an verschiedensten Stellen schon deren Vor- und Nachteile rauf und runter diskutiert. Das ist allenfalls ein nettes Gimmick, taugt aber nicht als zentrale Sicherheitskomponente. Wenn Die Sicherheit Deines Gerätes im Wesentlichen nur davon abhängt, dann ist das - gelinde gesagt - suboptimal.

 

[BloodRocks]

Der Server, der von dem Hacker gesendet wird, muss der vom Trojaner erzeugt werden oder ist es ein Teil des Trojaners?

 

[redjack1000]

Die Frage habe ich nicht verstanden.

Cu
redjack

 

[DerRobert94]

Ja, ich musste auch mehrmals lesen..
@BloodRocks Es kann auch ersteres der Fall sein (im Sinne von Kompromittierung), aber in der Regel ist er "teil des Trojaners", sprich es wird bewusst ein Server bzw eine virtuelle Umgebung aufgesetzt von der gezielt Malware verteilt wird. Daher ist es auch ratsam einen "Adblocker" (der nicht nur Werbung sondern auch bekannte Malware-Adressen blockiert) zu benutzen. - Ich hoffe die Information half dir weiter.

 

[Vindoriel]

Was Antivirensoftware angeht wurde das an verschiedensten Stellen schon deren Vor- und Nachteile rauf und runter diskutiert. Das ist allenfalls ein nettes Gimmick, taugt aber nicht als zentrale Sicherheitskomponente. Wenn Die Sicherheit Deines Gerätes im Wesentlichen nur davon abhängt, dann ist das - gelinde gesagt - suboptimal.

Und wo habe ich was davon geschrieben, dass der Virenscanner bei mir die zentrale Sicherheitskomponente wäre und sie Sicherheit meines Gerätes im Wesentlichen nur davon abhängt? Der Virenscanner* ist die allerletzte Instanz, falls doch mal was durch die vorgeschalteten Barrieren (Werbeblocker, Brain.exe...) kommen sollte.

Und da tut gerade Computerbase alles Beste, um diese Barrieren zu durchbrechen, nämlich mit der Aufforderung, den Werbeblocker zu deaktivieren (man wird hier sogar von Gewinnspielen usw. ausgeschlossen, wenn man einen benutzt oder gar auch nur einen der vielen Tracker mit der Firefox-Standardeinstellung blockt), oder saubere Links (ein Modul der Brain.exe -> nicht auf merkwürdige Links klicken) beim Klick in Echtzeit manipuliert werden (hier im Forum im Gegensatz zum redaktionellem Teil sogar ohne Kennzeichnung!) und man über irgendwelche Ad- oder Affiliateserver geleitet wird, die aufgrund der hohen Reichweite ein potentielles und lohnenswertes Ziel für Hacker sind.

*) Muss keine Software eines Drittanbieters sein, die ggf. weitere Sicherheitslücken öffnet oder Windows nach einem Windows-Update lahmlegt, seit Windows 10 hat man den brauchbaren Defender.

 

[DerRobert94]

Und da tut gerade Computerbase alles Beste, um diese Barrieren zu durchbrechen, nämlich mit der Aufforderung, den Werbeblocker zu deaktivieren

Nein, CB bittet nur drum die Seite in die Ausnahme hinzuzufügen und das geht eigentlich recht fix und easy. Du kannst zusätzlich auch CB in einen eigenen Container laufen lassen, so bringt das Tracker Zeugs den suchenden nicht mal was. Hier mehr zu lesen: https://addons.mozilla.org/de/firefox/addon/multi-account-containers/

seit Windows 10 hat man den brauchbaren Defender.

Der ist alles andere als brauchbar... aber gut lassen wir das Thema lieber...

 

[Dr. McCoy]

wie wahrscheinlich es ist, sich durch das reine Aufrufen einer Website - ohne selber aktiv etwas zu downloaden und dann auszuführen einen Trojaner oder andere Schadsoftware einzufangen, sofern man einen einigermaßen aktuellen Browser und ein aktuelles Windows mit allen Patches nutzt.

Das hängt von verschiedenen Faktoren ab. Einen davon formulierst du zwar selbst, der ist allerdings nicht hinreichend: Ein "einigermaßen" aktueller Browser ist eben das, was einige bekannte Lücken offen hält und somit die Risiken vergrößert. Erforderlich hingegen wäre ein "tagesaktueller" Browser mit stets allen eingespielten Sicherheitsaktualisierungen. Das gleiche gilt analog für's Betriebssystem, auch hier sind verfügbare Sicherheitspatches umgehend zu installieren.

Soweit erstmal die Betrachtung für Exploits außerhalb der Zero-Day-Varianten. Gegen letztgenannte braucht es nämlich noch andere Maßnahmen als die Patches.

Wenn das ganze so einfach wäre, dann müssten doch eigentlich nahezu sämtliche Systeme bei privaten Nutzern betroffen sein

Es ist dann einfach, und Nutzer sind dann betroffen (bzw. einen deutlich höheren Infektionsrisiko ausgesetzt), wenn sie mit nicht sicherheitsgepflegter Software unterwegs sind: Alte Browser-Version mit fehlenden Patches, EOL-Betriebssystem als Basis (XP, Vista, Seven, 8.x), Plugins veralteter oder sehr sicherheitsanfälliger Plugins im Browser (Java, Adobe Reader, usw.).

Man darf sich dabei also nicht nur den Browser ansehen, sondern muss auch all jene Software berücksichtigen, die als Plugin mit in diesen eingebunden ist! Hat man beispielsweise einen Adobe Reader in veralteter, nicht gepatchter Version, möglicherweise sogar noch mit aktiviertem Scripting, in Verwendung, und dieser ist mittels Browserplugins eingebunden, kann auf Webseiten platzierte Malware stets Sicherheitslücken über dieses Plugin ausnutzen und somit im Zweifel das System kompromittieren.

Neben den bekannten Sicherheitslücken, für die es Patches gibt, haben wir aber noch die (noch) unbekannten, für die es (noch) keine Patches gibt, die aber ggf. bereits ausgenutzt werden. Das sind die Zero-Day-Exploits, und davor schützt man sich durch konzeptionelle Maßnahmen, beispielsweise:

Aktuelle Software mit zeitgemäßen Sicherheitsfeatures (z.B. im Betriebssystem), spezielle Addons (nicht Plugins!) im Browser (z.B. Ad-Server-Filter, NoScript, usw.), Verwenden eingeschränkter Nutzerkonten, Reduzieren der potentiellen Angriffsfläche durch Reduzieren der installierten Anwendungen (und Plugins) auf das wirklich Benötigte, Konfigurieren von Anwendungen zur Verringerung der Angriffsfläche (z.B. standardmäßig "Nur Text" für eingehende E-Mails), usw.

und es würde auch niemand versuchen einem Schadsoftware über spezielle Downloads und deren Ausführung unterzujubeln, wie das ja meistens üblich ist.

Das Eine schließt ja das andere nicht aus. Malware wird seit jeher weitflächig auf den verschiedensten Wegen verbreitet. Die einen Nutzer werden bei der Vernachlässigung ihrer Softwareaktualisierungen "abgeholt", die nächsten, weil sie gegenüber Social Engineering anfällig sind, die nächsten bemerken das Phishing nicht, andere wiederum verwenden das gleiche Passwort bei allen möglichen Diensten im Web, und machen sich dadurch angreifbar... Die Liste ließe sich seitenweise fortführen.

 

[andy_m4]

Und wo habe ich was davon geschrieben, dass der Virenscanner bei mir die zentrale Sicherheitskomponente wäre und sie Sicherheit meines Gerätes im Wesentlichen nur davon abhängt?

Das klang so. Sonst würdest Du ja auch nicht so viel Gewicht rein legen.

Der Virenscanner* ist die allerletzte Instanz, falls doch mal was durch die vorgeschalteten Barrieren (Werbeblocker, Brain.exe...) kommen sollte.

brain.exe und der Werbeblocker sind die vorgeschalteten Barrieren? Auweia.
Wenn das Deine Sicherheitsmaßnahmen sind, dann ist ein AV-Scanner vielleicht doch nicht so schlecht.

Und da tut gerade Computerbase alles Beste, um diese Barrieren zu durchbrechen, nämlich mit der Aufforderung, den Werbeblocker zu deaktivieren

Jaja. Ich fühle auch immer ein virtuellen Pistolenlauf im Rücken, wenn solche Dinge lese.

man wird hier sogar von Gewinnspielen usw. ausgeschlossen

Sogar von Gewinnspielen!!!!1!1!
Ok. That kills me.
Ich belasse es mal dabei.

 

[BloodRocks]

Warum nennt man einen Teil von einem Trojaner "Server"?

 

[redjack1000]

Weil dieser eventuell Dienste anbietet.

Cu
redjack

 

[.one]

Dann weißt du falsch oder liest die Antworten nicht.

 

[redjack1000]

Soweit ich weiß, soll sich dieser "Server" auf dem infizierten Computer befinden

Woher hast du dieses Wissen?

Cu
redjack

 

[BloodRocks]

Wie ist es dann wirklich? Ich habe das gefunden

Die Client-Server- Architektur besteht aus zwei Komponenten . Der Server muss auf dem Computer installiert und ausgeführt werden, der ferngesteuert werden soll. Es handelte sich um eine .exe- Datei mit einer Dateigröße von fast 500 KB

https://en.wikipedia.org/wiki/NetBus