Palo Alto Networks sieht Malvertising – also den Missbrauch von Onlinewerbung zum Datendiebstahl oder gar der Übernahme von Rechnern – im Aufwind. Im vergangenen Oktober waren mit AOL und Yahoo bereits zwei Internetriesen und deren Nutzer betroffen. Anfang des Jahres kam heraus, dass weitere bekannte Websites, darunter auch FHM und Huffington Post für Malvertising-Kampagnen genutzt wurden, ohne dass die Betreiber davon etwas mitbekommen haben.
„Die Zunahme von Malvertising beschäftigt uns derzeit mehr als die sonstigen gängigen Angriffsmethoden“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. Und das aus gleich mehreren Gründen, wie die Sicherheitsexperten bei Palo Alto Networks berichten.
So werden für Malvertising auf nahezu jeder Website Werbeflächen genutzt, die als Hosting-Plattform für Drittanbieter-Werbung dient. Die potenzielle Reichweite ist groß, denn jeder Internetnutzer auf der ganzen Welt kommt ständig in Kontakt mit Werbung. Auf jeder Internetseite, die aufgerufen wird, etwa um Nachrichten zu lesen oder nach einem Film zu suchen, taucht Werbung auf. Der durchschnittliche Internetnutzer wurde laut Statistik von Comscore bereits im Jahr 2012 mit mehr als 1.700 Anzeigen pro Monat konfrontiert, Tendenz steigend. Durch Malvertising können die Angreifer Hunderte Millionen von Nutzern erreichen.
Malvertisements sind dabei kaum von legitimen Anzeigen zu unterscheiden. Selbst mit geschärftem Blick für Cyber-Bedrohungen fällt es schwer, auf den ersten Blick die gefährlichen Werbeeinblendungen als solches zu identifizieren. Eine simple No-Click-Regel ist nicht genug, um Nutzer zu schützen, weil einige Malvertisements, wie Pop-up-Anzeigen, nicht einmal die Interaktion des Anwenders erfordern. Die Malware wird nebenbei installiert, wenn die Anzeige auf der Seite geladen wird – und als Malware kommt alles in Frage, von Botnetzen, die sich fremde Computer als Zombie-Computer aneignen, bis hin zu Ransomware, die Daten verschlüsselt, um dann „Lösegeld“ für die Entschlüsselung zu fordern.
Konsequenzen haben die Malvertising-Akteure kaum zu befürchten, da die Hosting-Website keine Kontrolle über die Anzeigen hat. Angreifer nutzen die Möglichkeit, auf die Werbenetzwerk-Funktionen mit ihren niedrigen Preisen und automatischen Bieterverfahren zurückzugreifen. Damit erschließen sie sich das Potenzial sehr großer Zielgruppen, die sich über „vertrauenswürdigen“ Quellen – wie eben AOL oder Yahoo – erreichen lassen.
Und so funktioniert es: Der Angreifer stellt bei einem Ad Publisher seinen Anzeigen-Programmcode und nennt den höchsten Preis, den für die Veröffentlichung seiner Werbeanzeige zahlen will – so wie legitime Anzeigenkunden. Der Ad Publisher nutzt ein Ad-Netzwerk, um für Werbeflächen auf fremden Websites zu bieten. Das Angebot geht an den Meistbietenden. Dies ist ein automatischer Verkaufsprozess, der nur einige Millisekunden dauert. Die Preise betragen in der Regel weniger als einen US-Dollar. Der Code der vermeintlichen Anzeige wird dann auf der Website platziert.
Die Angreifer versuchen meist, sich einen „guten Ruf“ zu verschaffen, indem sie für ein paar Monate Anzeigen mit sauberem Code platzieren, bevor die Anzeigen mit Angriffscode versehen werden. Sobald dies geschieht, erzielt der Angriff eine breite Reichweite und es besteht die Möglichkeit, Hunderttausende von Benutzern zu infizieren und Einnahmen im sechsstelligen Bereich zu generieren – für eine anfängliche Investition, die nur einen Bruchteil davon beträgt. Die bösartige Werbeanzeige muss nur für ein paar Tage oder ein paar Stunden gebucht werden, bis der Angreifer seine Mission erfüllt hat und die Anzeige wieder herunternimmt vom Netz.
Damit die Branche dem Malvertising-Problem entschieden entgegentreten kann, wäre eine koordinierte Anstrengung von Werbenetzwerken und Publishern sowie mehr Druck von Ad-Hosting-Websites nötig. Eine solche Zusammenarbeit zwischen vielen Beteiligten ist schwer zu orchestrieren, zudem geht es um Gewinne. Da Werbenetzwerke von den Angreifern immer noch für Werbefläche bezahlt werden, besteht kein Interesse an einer schnellen Aufklärung. Die Angreifer mache sich diese Taktik zunutze, weil sie einfach ist und funktioniert. Malvertising ist gegenüber Spear-Phishing und Packet-Sniffing eine völlig andere, fast schon legitime Methode, weil es einen echten Geschäftsprozess nutzt, statt Malware mit großem Aufwand wie etwa Social Engineering in Stellung zu bringen.
„Die Zeiten, in denen Malware nur auf zwielichtigen Websites präsent war, sind vorbei. Cyber-Bedrohungen agieren heute in freier Wildbahn, versteckt auf echten Websites, denen wir vertrauen und die wir häufig besuchen. Die Angreifer arbeiten mit Methoden, die ehrliche Leute absichtlich geschaffen haben, um Geschäftspotenziale zu erschließen. Wir müssen daher unsere Anstrengungen, um Cyber-Werte zu schützen, anpassen. Angreifer gehen dazu über, Schwachstellen in alltäglichen Geschäftsprozessen für ihre unlauteren Zwecke zu nutzen“, erläutert Thorsten Henning von Palo Alto Networks.“
Palo Alto Networks setzt bereits auf verschiedene Maßnahmen, um Malvertising-Angriffe zu vereiteln:
- Drive-by-Download-Schutz warnt die Benutzer, dass ein Download-Versuch stattfinden soll. Diesen muss der Benutzer entweder erlauben oder verweigern. Wenn ein Malvertisement versucht, das automatische Herunterladen von Malware zu starten, gibt dieser Mechanismus dem Benutzer die Möglichkeit hier einzugreifen, bevor etwas passiert.
- File-Blocking-Profile schränken die Arten von herunterladbaren Dateien ein auf nur die Dateien, die erforderlich sind oder die der Benutzer erwartet.
- Der Cloud-basierte Anti-Malware-Dienst WildFire von Palo Alto Networks sorgt für stets aktuellen Antivirus-Schutz gegen unbekannte Malware, unmittelbar nachdem sie von WildFire entdeckt wurde. Malvertisements, die versuchen, bekannte oder unbekannte Malware zu aktivieren, werden erkannt und abgewehrt.
- URL-Filterung stoppt den Verkehr zu bekannten bösartigen oder nicht kategorisierten Websites. Wenn ein Malvertisment angeklickt wird, wird die entsprechende Webseite blockiert.
- Selbst wenn der Download der Malware auf den PC erfolgreich war, verhindert Palo Alto Networks´ Abo-Dienst Traps die Installation der Malware.
„Sicherheit ist nicht etwas, das sich auf Netzwerkarchitektur und Programmierpraktiken beschränkt. Business-to-Business-Prozesse müssen auch sicherer werden. Alle Prozesse, die das Internet oder Intranet nutzen, müssen in die Liste möglicher Angriffsvektoren aufgenommen werden. Es empfiehlt sich dabei, sich in die Rolle des Hackers zu versetzen und zu überlegen, wie man vorgehen würde. Daraufhin gilt es Schutzmaßnahmen gegen diese potenziellen Angriffstaktiken aufzustellen“, so Thorsten Henning.