Was sind Exploits und warum sind sie so gefährlich?

31 Jul 2015

Sicherheits-Experten bezeichnen Exploits oft als größte Gefahr für die Sicherheit von Daten und Computern. Doch viele Anwender wissen nicht, was Exploits eigentlich sind und warum diese so gefährlich sind. Hier erklären wir die Hintergründe:

Was sind Exploits?

Exploits sind eine bestimmte Art Schadprogramm. Sie enthalten Daten oder ausführbaren Code, die eine oder mehrere Sicherheitslücken in den Programmen, die auf einem Computer laufen, ausnutzen können.

Einfach erklärt: Sie haben auf Ihrem Computer einen Browser, der eine Sicherheitslücke enthält, die es erlaubt, „beliebigen Code“ auszuführen (zum Beispiel ein schädliches Programm zu installieren und zu starten) – und das, ohne dass Sie es bemerken. Meist erhöhen Angreifer als erstes ihre Rechte, so dass sie auf dem angegriffenen Computer alles Mögliche tun können.

Browser, aber auch Flash, Java und Microsoft Office, gehören zu den am häufigsten angegriffenen Programmen. Da sie überall zu finden sind, werden sie aktiv von Sicherheits-Experten, aber auch von Hackern, durchforscht, und die Entwickler müssen regelmäßig Patches veröffentlichen, um Sicherheitslücken zu schließen. Diese Patches sollten sofort nach ihrer Veröffentlichung installiert werden, doch leider ist das nicht immer der Fall, denn für das Update müssen Sie zum Beispiel alle Browser-Tabs oder geöffneten Dokumente schließen.

Ein weiteres Problem sind Exploits für bisher unbekannte Sicherheitslücken, die von Blackhat-Hackern entdeckt und missbraucht werden: das sind so genannte Zero-Days (auch 0days). Es kann einige Zeit dauern, bis die Hersteller wissen, dass hier ein Problem besteht und dieses gelöst werden kann.

Infizierung

Cyberkriminelle bevorzugen Exploits als Infizierungsmethode gegenüber anderen Möglichkeiten, etwa dem Social Engineering, da die Verwendung von Sicherheitslücken im Gegensatz zu den anderen Wegen auf jeden Fall Ergebnisse für die Hacker bringt.

Es gibt zwei Möglichkeiten, wie Exploits an die Anwender „geliefert“ werden können. Zum einen beim Besuch einer Webseite, die schädlichen Exploit-Code enthält, zum anderen durch das Öffnen einer augenscheinlich legitimen Datei, die verborgenen Exploit-Code enthält. Wie Sie sich schon denken können, kommen Exploits meist per Spam- oder Phishing-Mails.

Wie auf Securelist geschrieben, befallen Exploits bestimmte Versionen von Programmen, die Sicherheitslücken enthalten. Startet der Anwender genau diese Version der Software auf seinem Computer oder nutzt eine Webseite diese Software, wird der Exploit gestartet. Hat er einmal Zugriff über die Sicherheitslücke, lädt er weitere Schadprogramme von den Servern der Kriminellen herunter und führt schädliche Aktionen aus, etwa Diebstahl persönlicher Daten, Integration des Computers in ein Botnetz, Spam-Versand oder die Durchführung von DDoS-Attacken – was immer die Täter machen wollen.

Exploits stellen sogar für sicherheitsbewusste und vorsichtige Anwender, die ihre Software immer aktuell halten, eine enorme Gefahr dar. Der Grund ist die Zeitspanne zwischen der Entdeckung einer Sicherheitslücke und der Veröffentlichung des entsprechenden Patches. Während dieser Zeit funktionieren Exploits einwandfrei und bedrohen die Sicherheit fast aller Internet-Anwender – außer diese nutzen automatische Tools zur Abwehr von Exploit-Angriffen.

Nicht zu vergessen, das oben genannte „Offene-Tabs-Syndrom“: Es gibt einen Preis, den man für ein Update zahlen muss, nämlich alle Programme, Tabs und Dokumente zu schließen. Und nicht jeder macht das sofort, wenn ein Patch verfügbar ist.

Exploits kommen in Paketen

Exploits werden oft zusammengepackt, so dass ein angegriffener Computer auf eine große Zahl von Sicherheitslücken geprüft werden kann. Werden eine oder mehrere Lücken entdeckt, kommen die entsprechenden Exploits ins Spiel. Solche Exploit-Kits verwenden zudem meist die so genannte Code-Obfuskation, um es Forschern zu erschweren, URL-Pfade im Code zu finden und zu entschlüsseln.

Zu den bekanntesten Exploit-Kits gehören folgende:

Angler – eines der hochentwickeltsten Kits auf dem Underground-Markt. Es legte die Messlatte höher, als es anfing, Antivirus-Programme und virtuelle Maschinen zu entdecken (die oft von Sicherheitsforschern als Honeypots verwendet werden), und verschlüsselte Dropper-Dateien auslieferte. Es ist eines der Kits, die am schnellsten neue Zero-Days einbauen, zudem läuft seine Schadsoftware im Speicher, ohne, dass etwas auf die Festplatte der Opfer geschrieben werden muss. Eine technische Beschreibung von Angler finden Sie hier.

Nuclear Pack – befällt seine Opfer mit Java- und PDF-Exploits, infiziert Computer aber auch mit dem berüchtigten Bank-Trojaner Caphaw. Mehr zu Nuclear Pack finden Sie hier.

Neutrino – ein russisches Exploit-Kit, das einige Java-Exploits enthält und im vergangenen Jahr in die Schlagzeilen kam, da es von seinem Entwickler für den stolzen Preis von 34.000 Dollar verkauft wurde. Wahrscheinlich passierte das nach der Verhaftung des Hackers Paunch, der das nächste Exploit-Kit entwickelt hatte.

Blackhole Kit – eine der größten Gefahren des Jahres 2012, die in älteren Versionen Browser wie Firefox, Chrome, Internet Explorer und Safari angegriffen hat, aber auch viele beliebte Plugins wie Flash, Acrobat und Java attackierte. Nachdem die Opfer auf eine Webseite gelockt oder umgeleitet wurden, prüfte das Exploit-Kit, was auf dem Computer des Opfers zu finden war und lud alle entsprechenden Exploits auf den Rechner.

Blackhole hat, anders als die meisten anderen Exploit-Kits, sogar einen eigenen Wikipedia-Eintrag. Seit der Verhaftung seines Entwicklers Paunch, ist das Kit allerdings fast ausgestorben.

Fazit

Exploits können nicht immer von Sicherheits-Software entdeckt werden, dafür sollten Sicherheitsprogramme Module zur Verhaltensanalyse verwenden – nur damit können Exploits wirklich umfassend abgewehrt werden. Schadprogramme gibt es viele und in allen möglichen Formen, doch die meisten davon haben ähnliche Verhaltensmuster, die damit erkannt werden können.

Kaspersky Internet Security und andere Kaspersky-Lösungen verwenden ein Modul namens Automatic Exploit Prevention, das die typischen Verhaltensmuster aller bekannten Exploits kennt. Das charakteristische Verhalten solcher Schadprogramme hilft beim Schutz vor Infizierungen – sogar im Fall bisher unbekannter Zero-Day-Sicherheitslücken.

Weitere Informationen zur Automatic Exploit Prevention finden Sie hier.