Drive-by-downloadaanvallen populair dankzij laksheid van webmasters
De populariteit van de zogenaamde drive-by-downloadaanvallen heeft in de laatste maanden een enorme vlucht genomen. Eén van de belangrijkste oorzaken van de toename van deze methode van malwareverspreiding is de gebrekkige betrokkenheid van webmasters bij hun websites. Onderzoek van securityspecialist G Data wijst uit dat bijna de helft van de webmasters zich nauwelijks druk kan maken over het feit dat hun site gekaapt is en dienst doet als verspreider van malware.
In het kader van het Malware Information Initiative, een project dat G Data ontplooit in een poging om het internet veiliger te maken, besteden de securityexperts veel aandacht aan deze drive-by-downloadaanvallen. Deze methode voor het verspreiden van malware is in de afgelopen maanden zó populair geworden onder cybercriminelen, dat deze malware-e-mails als belangrijkste verspreidingsmethode van malware van de troon heeft gestoten.
Er zijn veel manieren waarop hackers sites kunnen kapen, maar drie manieren springen er volgens het G Data SecurityLab qua populariteit duidelijk uit:
1. De toegang tot webservers is vaak beveiligd met een zwak wachtwoord, zoals bijvoorbeeld admin123. Deze wachtwoorden kunnen binnen enkele seconden worden gekraakt met zogenaamde 'dictionary attacks', die volledig automatisch plaatsvinden;
2. Er worden regelmatig zwakke plekken gevonden in webserverprogramma’s die bijvoorbeeld voor webshops, content management systemen, blogs of fora worden gebruikt, die door cybercriminelen worden uitgebuit. Deze software loopt vaak in standaard configuraties of hebben zoveel veiligheidslekken omdat ze niet regelmatig worden geupdatet. Speciale queries bij zoekmachines zorgen ervoor dat kwetsbare computers razendsnel gevonden worden;
3. Ongefilterde gebruikersingaven, zoals bijvoorbeeld in websiteformulieren of gebruikersbijdragen op fora, bieden een andere opening voor cross site scripting of SQL injecties. Een reeks filtermodules biedt meestal onvoldoende bescherming en aanvallers worden steeds succesvoller in het gebruiken van deze methode om malware in de website te injecteren.
Ondanks waarschuwing, geen actie
Veel PC gebruikers zijn zich inmiddels bewust van de gevaren die zich op internet bevinden. De meeste mensen verwachten echter niet dat er aanvallen komen van websites van betrouwbare bedrijven en instanties, zoals hotels, actiegroepen en webcommunities. In het kader van het G Data Malware Information Initiative blijven de onderzoekers stuiten op sites van dit allooi die malware verspreiden. Om de gevaren van het internet in te perken, neemt G Data regelmatig contact op met de verantwoordelijke webmasters. De reacties op deze waarschuwingen lopen erg uiteen. Het meest zorgwekkende is de nalatigheid van veel van de webmasters: van de 100 webmasters die G Data tijdens dit onderzoek heeft benaderd, hebben er slechts 55 binnen een week maatregelen getroffen om het probleem te verhelpen.
Reactietijd webmasters:
"Wanneer wij malware op een website ontdekken, lichten wij direct de webmaster in over hoe dat zo snel mogelijk kan worden beëindigd. Maar in veel gevallen is de reactie traag, als die niet geheel uitblijft.," zegt Ralf Benzmüller, hoofd van het G Data SecurityLab. "Wij pleiten ervoor dat meer webmasters hun verantwoordelijkheid nemen als het gaat om de veiligheid van hun website. Wie niet wil dat zijn site in handen komt van criminelen, moet zijn webserver regelmatig checken en, als dat nodig is, snel en efficient handelen om eventuele problemen op te lossen.”
G Data tips:
De mogelijkheden voor aanvallers om een site te kapen, kunnen drastisch worden teruggebracht door de volgende acties:
1. Security-updates voor webapplicatiesoftware moeten altijd direct worden geïnstalleerd. Dit is de enige manier om kritieke lekken te dichten. Helaas is de periode tussen het verschijnen van een nieuwe patch en een poging tot een aanval vaak heel kort.
2. Antivirusprogramma’s zijn bedoeld om alle computers te beschermen, en dus zeker ook webservers. Het is wel belangrijk dat deze altijd actueel worden gehouden met de laatste virushandtekeningen.
3. Webmasters zouden de offline-versie van hun website regelmatig moeten checken met een virusscanner. Zo kan goed verborgen malware toch gevonden worden.
4. In het geval van een infectie, dienen administrators alle toegangswachtwoorden onmiddellijk te wijzigen. Dan kunnen de hackers niet de volgende dag opnieuw toeslaan.
Natuurlijk kunnen internetgebruikers zelf ook iets doen om hun computer te beschermen tegen drive-by-downloadaanvallen. Om te beginnen kunnen zij zich beschermen door altijd de meest recente versie van de gebruikte webbrowser te gebruiken. Oude programma’s ('software dinosaurussen') kampen vaak met beveiligingslekken die door hackers worden gebruikt om malware code te smokkelen. De nieuwere vesies hebben deze lekken inmiddels gedicht en zijn daarmee veel minder kwetsbaar voor drive-by-downloads. Daarnaast is het van belang voor internetgebruikers om een virusbescherming op de pc te hebben, die doorlopend de inhoud van websites op malware controleert (een zogenaamde http-scan). Hierdoor wordt malware snel gevonden en al gestopt voordat het de browser en dus de pc kan bereiken.
© 2007 - 2012 G Data Software AG. Alle rechten voorbehouden
