lolloj - Fotolia

Wie macht sich eine neue Verschleierungstechnik für Malware HTML5 zunutze?

Angreifer machen sich HTML5 zunutze, um sogenannte Drive-by Downloads zu verschleiern, über die Malware verbreitet wird. So schützen Sie sich.

Einige Unternehmen sind aus Sichheitsbedenken von Adobe Flash auf HTML5 umgestiegen. Neuen Untersuchungen zufolge wird HTML5 für die Verschleierung von Drive-by-Download-Angriffen benutzt. Wie macht sich diese neue Verschleierungstechnik HTML5 zunutze und was können wir dagegen tun?

Unternehmen müssen sich bewußt sein, dass sich der aktuelle Status von Softwaresicherheit und Schwachstellen sehr schnell ändert. Sehr wahrscheinlich können wir damit nicht Schritt halten. Firmen brauchen deswegen ein rigoroses Security-Programm, um aufkommende Risiken bewerten zu können. Der Kontrollmechanismus von heute ist möglicherweise die neue Lücke von morgen. Das Sicherheitsprogramm einer Firma muss flink und behände genug sein, dass sich Kontrollmechanismen für die Security im Notfall kompensieren lassen, sollten sie nicht mehr effizient sein. Somit können Sie diese ersetzen oder abstellen, ohne das komplette Programm neu designen zu müssen.

Dieser Angriff (PDF-Download) zeigt, dass sich HTML5 als Teil eines sogenannten Drive-by Downloads verwenden lässt. Der spezielle Angriff ist ein PoC (Proof-of-Concept, Machbarkeitsstudie) und konzentriert sich auf die Phase der Ausnutzung eines Drive-by-Download-Angriffs. Er lässt sich aber relativ einfach für einen vollständigen Drive-by Download ausweiten. Die Proof-of-Concept Malware setzt auf HTML5, um den böswilligen Code zu verschleiern. Beim Herunterladen des Codes wird dieser nicht von signaturbasierten Antimalware-Tools erkannt. Verhaltensbasierte Antimalware-Tools werden ebenfalls umgangen, weil sich das böswillige HTML5 JavaScript nicht analysieren lässt. Der verschleierte und bösartige JavaScript-Code wird vom Webbrowser heruntergeladen und dann wieder zusammengefügt. Im Anschluss wird er auf dem Endgerät ausgeführt und die Infizierung vervollständigt.

Ein Unternehmen würde auf diese Verschleierung der Proof-of-Concept Malware genauso wie auf jeden neuen Angriff reagieren, nachdem eine Schwachstelle in einer Software oder einem Kontrollmechanismus für die Security entdeckt wurde. Security-Experten raten dazu, einige Funktionen von HTML5 zu deaktivieren. Es geht natürlich um jene, die in diesem Angriff zum Einsatz kommen. Das Einschränken der Funktionalität auf nicht vertrauenswürdigen Seiten und das Genehmigen auf nur vertrauenswürdigen könnte aber zu restriktiv sein. Stellen Sie sicher, dass Webbrowser und Antimalware-Tools auf dem neuesten Stand sind. Sorgen Sie dafür, dass nur vertrauenswürdige Daten auf den Endgeräten ausgeführt und neue Verschleierungstechniken für Malware erkannt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close