Ein Mitarbeiter eines gro?en Unternehmens recherchiert f¨¹r einen Kunden und klickt auf eine vermeintlich seri?se Website. Was sie nicht wissen, ist, dass sich w?hrend des Surfens Malware in Form eines trojanischen Virus schnell auf ihr Endger?t herunterl?dt. Der Trojaner springt vom Endger?t in das Unternehmensnetzwerk ¨¹ber, und pl?tzlich schlagen die Cybersecurity-Systeme Alarm, da sich Ransomware in der Umgebung festgesetzt hat.
Diese Art des verdeckten Angriffs, der stattfindet, ohne dass der Benutzer es ¨¹berhaupt merkt, ist als Drive-by-Download-Angriff (im ?Vorbeifahren¡°) bekannt und wird immer h?ufiger von Bedrohungsakteuren eingesetzt, die statt traditionelle Social-Engineering-Taktiken einzusetzen, stattdessen ausgekl¨¹gelte Angriffe unentdeckt durchf¨¹hren wollen.
Was sind Drive-By-Download-Angriffe?
Drive-by-Download-Angriffe, auch bekannt als Watering-Hole-Angriffe (“Wasserstelle”), treten auf, wenn ein Bedrohungsakteur eine Website, einen Link oder digitale Werbung kompromittiert und die Benutzer anschlie?end dazu verleitet, Malware von diesen manipulierten Quellen herunterzuladen. W?hrend Drive-by-Downloads als dateilose Malware kategorisiert werden k?nnen, ist nicht jeder Angriff dateilos. Das h?ngt von dem Bedrohungsakteur und der von ihm verwendeten Malware ab.
Mit dieser Taktik k?nnen Bedrohungsakteure den Aufwand von Social Engineering umgehen und stattdessen einfach auf der Lauer liegen, weil sie wissen, dass die Benutzer letzlich ganz von alleine zu ihnen kommen.
Beispiele f¨¹r Drive-by-Download-Angriffe, die von Bedrohungsakteuren eingesetzt werden, sind:
- Kompromittierung legitimer Websites, die von den Benutzern h?ufig besucht werden {?Watering Hole¡°)
- Versteckte Adware in Online-Werbung
- Installation von Exploit-Kits auf einer Website, die automatisch nach Schwachstellen auf dem Endger?t des Benutzers suchen
- Kompromittierte Mediendateien, einschlie?lich Pop-ups auf einer Website, die ein Benutzer herunterladen kann
Die MageCart-Angriffe, die im Jahr 2015 begannen und immer noch h?ufig wiederholt werden, zeigen auf, wie diese Methode f¨¹r Bedrohungsakteure funktioniert. Bei dieser Methode verschaffen sich Bedrohungsakteure Zugang zu den Websites von Online-H?ndlern und implementieren dann Malware, die die Kreditkartendaten der Benutzer beim Einkaufen abgreift. Jeder Nutzer, der einen Kauf t?tigt, wird pl?tzlich Opfer eines Diebstahls.
Wie Drive-By-Download-Angriffe funktionieren
Drive-by-Download-Angriffe unterscheiden sich je nach den Motiven des Angreifers ¨C so sind bei MageCart-Angriffen beispielsweise der Diebstahl von Finanzdaten das Ziel ¨C sodass jede Malware-Variante und jedes Ergebnis unterschiedlich sind. Der Angriff erfolgt jedoch in einigen allgemeinen Schritten.
1. Der Bedrohungsakteur manipuliert eine Website, die von einem Unternehmen h?ufig besucht wird (wenn es sich um einen gezielten Angriff handelt) oder die bei den Benutzern einfach beliebt ist.
2. Die Benutzer besuchen diese Website oder klicken auf einen manipulierten Link und l?sen damit unwissentlich den Angriff aus.
3. Ein Angreifer verschafft sich ¨¹ber eine Malware-Variante oder ein Exploit-Kit Zugang zum Endger?t des Benutzers.
4. Der Bedrohungsakteur startet einen ausgefeilteren Cyberangriff, sei es Ransomware, Datenexfiltration oder eine andere h?ufige Angriffsart.
Wie bereits erw?hnt, kann ein Angreifer bei einem Drive-by-Download eine Vielzahl von Tools einsetzen, da der Kern des Angriffs die kompromittierte Website oder ein anderes digitales Objekt ist.
Zu den h?ufigen Angriffen, die auf Drive-by-Downloads zur¨¹ckzuf¨¹hren sind, geh?ren:
- Ransomware
- Trojaner
- Exploit-Kits f¨¹r Schwachstellen
- Spyware
- Keylogger
- Adware
- Botnetze
- Rootkits
- Kryptojacking
Erfahren Sie mehr ¨¹ber die verschiedenen Arten von Malware, die am h?ufigsten von Bedrohungsakteuren verwendet werden.
Wie k?nnen Benutzer verhindern, dass sie Opfer von Drive-By-Download-Angriffen werden?
Da Drive-by-Download-Angriffe darauf angewiesen sind, dass die Benutzer nicht merken, was passiert, sind sie schwer zu erkennen und noch schwerer zu verhindern. Es gibt jedoch einige Ma?nahmen, die Unternehmen und Einzelpersonen ergreifen k?nnen, um diese immer h?ufiger auftretende Bedrohung zu stoppen.
1. Implementieren Sie ein risikobasiertes Programm zum Vulnerability Management, um das von Exploit-Kits ausgehende Risiko zu verringern. Exploit-Kits scannen das Endger?t eines Benutzers auf Schwachstellen. Wenn Ihr Unternehmen in Bezug auf Patches auf dem neuesten Stand ist, wird das Exploit-Kit bei seinem Vorhaben scheitern und der Angriff wird gestoppt, bevor er beginnt.
2. Sorgen Sie f¨¹r Browser-Sicherheit und Virenschutz, um zu verhindern, dass Malware automatisch heruntergeladen wird. Ein einfacheres Antivirenprogramm ist noch immer sehr hilfreich, um zu verhindern, dass Malware auf ein Endger?t zugreift. Dar¨¹ber hinaus werden durch die Einrichtung von Browser-Sicherheit und -Kontrollen auf den Endger?ten der Benutzer verd?chtige Websites blockiert und das Surfen isoliert, was das Risiko von Drive-by-Downloads verringert.
3. F¨¹hren Sie Sicherheitsschulungen durch, um die Benutzer ¨¹ber die Risiken aufzukl?ren, denen sie beim Surfen im Internet oder beim Anklicken von Links ausgesetzt sind.
Die Rolle von Schulungen zum Sicherheitsbewusstsein bei der Verhinderung von Drive-by-Download-Angriffen
Daher k?nnen Schulungen von Benutzern, wie sie diese Taktiken erkennen k?nnen, einem Unternehmen helfen, die Sicherheit zu gew?hrleisten und gleichzeitig das menschliche Risiko zu verringern.
Unternehmen m¨¹ssen ihre Mitarbeiter ¨¹ber bestimmte Angriffsarten, einschlie?lich Drive-by-Downloads, aufkl?ren, damit sie Bedrohungen erkennen k?nnen, bevor sie zu Angriffen werden. Der beste Weg, dies zu erreichen, ist die Implementierung eines soliden Schulungsprogramms f¨¹r das Sicherheitsbewusstsein, das eine Kultur des Bewusstseins schafft, gute Gewohnheiten zum Thema Cybersecurity entwickelt und das Risiko auf jeder Ebene des Unternehmens aktiv reduziert.
Arctic Wolf? Managed Security Awareness? tut genau das, indem es aktuelle Inhalte, Sicherheitsexpertise und Microlearning nutzt, um Ihren Benutzern zu helfen, Risiken zu erkennen, die Sicherheit zu gew?hrleisten und eine Kultur des Sicherheitsbewusstseins aufzubauen.
Erfahren Sie mehr ¨¹ber unsere Plattform f¨¹r Sicherheitsschulungen.
Erfahren Sie mehr ¨¹ber die Arten von Cyberangriffen, denen Ihr Unternehmen ausgesetzt sein k?nnte, und laden Sie den Arctic Wolf 2024 Security Operations Report herunter.
