Java stellt traditionell ein Einfallstor für Cyber-Attacken dar. Berücksichtigt man bei der Abwehr-Strategie aber sämtliche Stufen eines Angriffs, lassen sich die Gefahren deutlich minimieren.
* Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense Die Anfälligkeit von Java für Hacker treibt Sicherheits-Verantwortlichen immer wieder Sorgenfalten auf die Stirn. Java-Exploits, also Software, die gezielt Sicherheitslücken der Programmiersprache ausnutzt, gehören zur erfolgreichsten Malware überhaupt. Mit ihnen gelingt es Cyber-Kriminellen immer wieder, Netzwerke zu infiltrieren, Rechner zu infizieren und Daten zu stehlen. Mit dem Patchen kommen die Unternehmen häufig nicht mehr hinterher. Das nachträgliche Schliessen dieser Lücken ist ein aufwändiger Prozess, der durch die immer mehr werdenden mobilen Mitarbeiter noch zusätzlich verkompliziert wird. Besonders gefährlich sind deshalb die so genannten Zero-Day-Exploits. Sie greifen neue Java-Schwachstellen an, sobald sie bekannt werden. Cyber-Kriminellen stehen damit praktisch unbegrenzte Möglichkeiten zur Verfügung, traditionelle signaturbasierte Schutzeinrichtungen wie Antiviren-Software oder Firewalls zu umgehen. Wie kann man sich dagegen wehren? Java einfach zu deaktivieren ist keine Lösung, denn die Programmiersprache wird von vielen geschäftskritischen Applikationen verwendet. Eine erfolgversprechende Abwehr-Strategie besteht vielmehr darin, die gesamte Ablaufkette eines Angriffs zu berücksichtigen. Dadurch bieten sich viel mehr Ansatzpunkte, eine solche Attacke zu erkennen und zu stoppen, als wenn man sich lediglich auf den letzten Schritt – den eigentlichen Datendiebstahl – konzentriert. Nächste Seite: So laufen Angriffe ab
Eine aktuelle Attacke, die von den Websense Security Labs abgefangen werden konnte, macht deutlich, wie die insgesamt sieben typischen Stufen eines Angriffs aussehen. Vor einiger Zeit versuchten Cyber-Kriminelle mit dem Java-Exploit-Kit «RedKit» aus den verheerenden Bombenattentaten beim Boston Marathon Kapital zu schlagen. Ihr Vorgehen im Einzelnen:
1. Stufe: Gelegenheiten auskundschaften
Wie bei vielen anderen Attacken beobachteten die Cyber-Kriminellen auch in diesem Fall die Nachrichten, um einen Einstiegspunkt für ihren Angriff zu finden. Diesen fanden sie in den Bombenattentaten von Boston.
2. Stufe: Köder auslegen
Im zweiten Schritt versendeten die Täter Spam-Mails mit reisserischen Betreffzeilen, die auf die allzu menschliche Neugier an tragischen Ereignissen abzielten:
«2 Explosions at Boston Marathon»
«Aftermath to explosion at Boston Marathon»
«Boston Explosion Caught on Video»
«BREAKING - Boston Marathon Explosion»
«Runner captures Marathon Explosion»
«Video of Explosion at the Boston Marathon»
3. Stufe: Auf Exploit-Seite umleiten
Wer auf einen der in die Mails eingebetteten Links klickte, landete auf einer Seite mit Videoberichten über das Ereignis. Von dort wurde er unbemerkt zu einer Exploit-Seite umgeleitet:
http:///news.html
http:///boston.html
4. Stufe: Nach Sicherheitslücken suchen
Das Exploit Kit-RedKit suchte nach geeigneten Schwachstellen und nutzte in diesem konkreten Fall die Sicherheitslücke «Oracle Java 7 Security Manager Bypass Vulnerability» (CVE-2013-0422), um eine Datei an den Rechner des Webseiten-Besuchers zu senden. Nächste Seite: Stufen 5 bis 7 und die Lösungsvorschlag
5. Stufe: Über Trägerprogramm Schadsoftware installieren
Als Trägerprogramm («Dropper File») zum Einschleusen der Malware nutzten die Täter einen Downloader der Win32/Waledac-Familie. Über ihn wurden auf den Rechnern der Opfer zwei Bots installiert, also Programme, mit denen die Angreifer die Kontrolle über die infizierten Computer übernehmen können: Win32/Kelihos und Troj/Zbot.
6. Stufe: Verbindung aufnehmen
Die befallenen Maschinen meldeten sich bei den «Bot-Hirten», also den Angreifern, und bestätigten, dass eine Verbindung hergestellt ist.
7. Daten stehlen
Die infizierten Maschinen waren nun bereit, Daten preiszugeben, die gespeichert hatten, die über sie liefen oder auf die sie zugreifen konnte. Ausserdem konnten die infizierten Rechner als Plattform für neue Angriffe genutzt werden, beispielsweise zum Versenden von Spam-Mails oder für Distributed-Denial-of-Service-Angriffe (DDoS).
Lösungsvorschlag
Diese Aufschlüsselung der Bedrohungs-Kette («Cyber Kill Chain») zeigt, welche Gelegenheiten es gibt, Attacken zu erkennen und zu stoppen. Mit mehrschichtigen Analysen, die jedes Glied dieser Kette berücksichtigen, können Unternehmen sogar Zero-Day-Angriffe erfolgreich abwehren – und damit das Sicherheitsrisiko von Java deutlich reduzieren.
