Finjan hat einen neuen Trend entdeckt: Infizierte Websites verstecken Code vor Malware-Suchmaschinen und starten so getarnte Attacken.
So können Angreifer mittlerweile ihren Schadcode auf Websites gezielt vor Crawlern verstecken. Diese Malware-Suchmaschinen durchforsten das Internet nach bösartigen Programmen und klassifizieren sie entsprechend. Die Hacker präparieren Webseiten und Webserver so raffiniert, dass die Schadsoftware in der Lage ist herauszufinden, von welcher IP-Adresse aus die Inhalte der Website aufgerufen werden. Während Malware-Suchmaschinen dann unverdächtige Inhalte präsentiert bekommen, spielt der Webserver allen anderen Anwendern Seitenversionen mit bösartigem Code ein. Auf diese Weise gelangen die Informationen über Malware-gespickte Websites nicht in die schwarzen Listen gängiger URL-Filter, die deshalb auch nicht mehr wirksam vor den bösartigen Codes schützen können.
Ein anderer Trick besteht darin, Angriffscode nur dann in eine Webseite einzubinden, wenn ein Anwender sie zum ersten Mal aufruft. Kommt der Besucher wieder, fehlt die Malware - auch dies erschwert die Erkennung und Zuordnung erheblich. Diese Entdeckungen zeigen, dass Hacker ihre Techniken erneut signifikant verfeinert haben. Detaillierte Informationen über die neuen Angriffsmethoden wird der Web Security Trends Report Q2/2007 von Finjan enthalten.
"Angriffstechniken mit entsprechenden Ausweichmechanismen stützen sich auf Datenbanken mit den IP-Adressen bekannter Crawler, die nach Malware suchen, und auf Zähler, die die Besuche einzelner Websurfer auf einer Website festhalten"", erklärt Yuval Ben-Itzhak, CTO bei Finjan. "Vor allem in Kombination mit weiteren Tricks zur Verschleierung bösartiger Code-Elemente ist dies eine Methode, die die Wirksamkeit klassischer URL-Blocker gegen Schadcode auf Websites einschränkt".