Exploit Kits sind so etwas wie die »Hidden Champions« unter den Cyberbedrohungen. Im Verhältnis zu großangelegten, gezielten Angriffen oft unterschätzt, sind sie in den vergangenen Jahren zu einem beliebten Werkzeug für kriminelle Hacker geworden: Allein von 2014 auf 2015 sind Cyberangriffe durch Exploit Kits laut dem »Infoblox DNS Threat Index« um 75 Prozent angestiegen. Rainer Singer, Infoblox Systems Engineering Manager Central Europe, hat fünf Gründe zusammengefasst, warum Exploit Kits noch gefährlicher sind als allgemein bekannt.

1. Exploit Kits erfordern keine technische Expertise

Technisch versierte Cyberkriminelle erstellen Kits-Software-Pakete, die dazu dienen, Malware zu verbreiten. Diese stehen dann »Jedermann« zum Kauf oder zur Vermietung zur Verfügung. Exploit Kits sind demnach besonders für unerfahrene Datendiebe mit geringen technischen Kenntnissen eine wirkungsvolle und mehr oder weniger frei zugängliche Munition.

2. Exploit Kits zielen auf Schwachstellen von beliebter Software ab

Exploit Kits nutzen Sicherheitslücken und Schwachstellen von gängigen Betriebssystemen und Softwareprogrammen wie Adobe Flash und Java aus. Dabei handelt es sich um Programme, die Nutzer nicht immer gleich mit Software-Updates aktualisieren. Insbesondere ältere Programmversionen – zum Beispiel von Java oder Firefox und Google Chrome – können besonders anfällig für bestimmte Exploit Kits sein.

3. Exploit Kits ermöglichen Zero-Day-Attacken

Zero-Day-Lücken sind Schwachstellen in IT-Systemen, die bisher noch keiner entdeckt hat – noch nicht einmal die Hersteller der jeweiligen Software. Dementsprechend steht auch noch kein Patch oder Bugfix zur Verfügung, der die Schwachstelle korrigieren kann. Einige Exploit Kits wie beispielsweise Angler sind sehr effektiv darin, Zero-Day-Lücken aufzudecken und diese in ihr Programmpaket einzubauen. Die betroffene Software ist Angriffen dann schutzlos ausgeliefert, da auch traditionelle Anti-Viren-Technologien sie nicht effektiv davor schützen können.

4. Exploit Kits locken ihre Opfer auf einfache Weise

Exploit Kits nutzen die altbekannte Spam- oder Malvertising-Methode, um Internetnutzer zu einer gefährlichen Webseite zu locken. Durch einen versehentlichen Klick auf eine manipulierte Anzeige oder einen manipulierten Link gelangt der Nutzer auf eine schädliche Seite mit einem Exploit Kit. Das Programmpaket wird dann mit einem Payload auf das Gerät des Opfers übertragen. Bei dem Payload kann es sich einerseits um eine Erpressungssoftware wie Cryptolocker oder Cryptowall handeln, andererseits kann es auch Malware sein, die sensible Daten wie vertrauliche oder personenbezogene Informationen oder geistiges Eigentum stehlen will.

5. Verschiedene Versionen von Exploit Kits

Die meisten Exploit Kits nutzen die gleiche Methode für ihre Angriffe. Sie unterscheiden sich allerdings durch die Schwachstelle, die sie sich zunutze machen und durch die Tricks, die sie gegen Anti-Viren-Programme anwenden. Angler gehört zu den hochentwickeltsten und meistbekannten Exploit Kits und ist allgemein berüchtigt für die Domain-Shadowing-Technik, die schädliche URLs in Werbenetzwerke einbindet. Dabei werden Domain-Name-Informationen gesammelt, um heimlich Subdomains zu erstellen, die zu bösartigen Servern führen – ohne Hinweise auf den eigentlichen Besitzer der Domain. Die Exploit Kits Neutrino und Magnitude gehören ebenfalls zu den Favoriten von Cyberkriminellen. Magnitude unterscheidet sich dabei von anderen Exploit Kits, indem es auf einem Traffic-Sharing-Modell basiert. Das heißt: Cyberkriminelle müssen das Exploit Kit nicht mieten, sondern einen Teil ihres Datenverkehrs mit den Administratoren des Exploit Kits teilen.

Wie können sich Unternehmen gegen Exploit Kits schützen?

Um Nutzer, Daten und Anwendungen zu schützen, müssen Unternehmen für eine sichere und robuste Netzwerkarchitektur sorgen. Allein in Perimeterschutz zu investieren reicht für einen umfassenden Schutz vor den Gefahren durch Exploit Kits nicht aus. Stattdessen sollten Unternehmen auch weiterführende Strategien entwickeln, die das gesamte Netzwerk und alle Sicherheitsschichten betreffen. Exploit Kits, Command-and-Control-Malware, Phishing und viele andere Cyberbedrohungen nutzen DNS als Grundlage, da das DNS für jeden zugänglich sein muss. Aus diesem Grund sollten Unternehmen auch in Sicherheitsmechanismen für ihre DNS-Infrastruktur investieren.

Infoblox stellt kritische Netzwerkdienste bereit. Diese Dienste sichern die DNS-Infrastruktur (Domain Name System) ab, automatisieren Cloud Deployments und tragen dazu bei, dass die Netzwerke von Unternehmen und Service Providern weltweit verfügbarer sind. www.infoblox.de Foto: cc0 pixabay