Verbreitung von HTML-Schadcode per Mail: Das Rad muss nicht immer neu erfunden werden

Gegen den Mythos von "ungefährlichen" HTML-Mails

(23.03.11) - "Never change a running system" - diese Weisheit gilt auch für Hacker. Denn HTLM-Schadcode per Mail ist zwar alles andere als neu, funktioniert aber nach wie vor. So haben Hacker beispielsweise im Herbst 2010 mit dieser Methode rund eine Millionen Angriffe pro Tag gestartet, so die Zahlen der Barracuda Labs. In den Mails wurde der thematischen Fokus zuerst auf tagesaktuellen Themen, dann auf vorgeblicher Geschäftskorrespondenz, später auf bekannte HTML-Layouts, etwa von sozialen Netzwerken, gesetzt und so wurden die Empfänger erfolgreich zum Öffnen des Anhanges bewegt.

Von Klaus Gheri, Vice President Product Management Europe, Barracuda Networks

In der ersten HTML-Spamwelle orientierte sich der Inhalt der Mails sich an den aktuellen Google-Trends. Im Gegensatz zur bekannten SEO-Poisoning-Strategie mussten Nutzer nun keine Suchergebnisse mehr anklicken; die JavaScript-Seiten landeten direkt in ihrem Posteingang.

Kurz nach dieser Vorhut, veränderten sich die Inhalte der Mails: Anfänglich auf Tagesaktuelles konzentriert, wirkten sie, von der Betreffzeile bis zur eigentlichen Nachricht, nun immer öfter wie seriöse englischsprachige Geschäftskorrespondenz.

Scheinbar seriöse Geschäftskorrespondenz mit html-Anhängen

Wurde der Anhang einer solchen Mail geöffnet, ergab sich folgendes Bild:

JavaScript-Code im Anhang

Der JavaScript-Code im Anhang ist verschleiert - mit den bekannten Folgen für die verlässliche Identifizierung durch Antivirus-Programme. Im Browserfenster geöffnet, bewirkte das JavaScript einen Redirect. Zielseiten waren zum Beispiel falsche Online-Apotheken, Fake-Codec-Pages sowie vorgebliche Antivirus-Seiten. Die ersten beiden Fälle erwiesen sich als grundsätzlich harmlos, solange keinem Download zugestimmt wurde.

Bei den gefälschten Antivirus-Seiten hatten die Programmierer jedoch eine weitere Idee eingebaut: Ein Blick auf das HTML hinter dem Redirect zeigt, dass hier keine bloße Weiterleitung stattfindet. Es enthält ein IFRAME-Element, das zeitgleich den Browser attackiert. Eine Backdoor wird heruntergeladen und installiert.

Schädlicher Anhang mit Doppelstrategie

Schließt der Anwender nun seinen Browser, verschwindet die Seite scheinbar problemlos. Der eigentliche Zweck des Angriffs - das Einrichten einer Backdoor - ist aber, vom Nutzer unbemerkt, bereits erreicht.

In einer dritten Welle von Mails war erneut eine Veränderung in der Angriffsstrategie zu beobachten: Die Hacker haben das JavaScript nun direkt in scheinbar harmlose HTML-Files eingebunden. Sie haben beispielsweise das Aussehen von Mails von sozialen Netzwerken kopiert. Die Vorschau dieser Mails im E-Mail-Programm wirkt harmlos - und das ist es häufig auch. Denn dort ist JavaScript meist deaktiviert.

JavaScript eingebunden in scheinbar harmlosen HTML-Code

In einem Browser-Fenster geöffnet, beginnt das JavaScript jedoch zu arbeiten: Der Anhang wird für einen kurzen Moment angezeigt und dann ausgeblendet. Augenblicklich beginnen nun ein Browser-Exploit und der Download von Malware. Abgeschlossen wird die Attacke durch die Installation eines Zeus-Trojaners. All dies geschieht im Hintergrund, unsichtbar für den User. Dass sie mit der neuen Flut von HTML-Spam und den neuen Angriffsstrategien durch die Aufklärungsarbeit der letzten Jahre besser zurecht kommen, lässt sich nicht behaupten. Fast in jedem Unternehmen werden einige solcher Mails geöffnet, wenn sie zum User durchdringen.

Aus Netzwerksicht reicht eine Spam- und Virus-Firewall aus, um bekannte Angriffe abzublocken. Unternehmen benötigen jedoch zusätzlich einen Web-Filter, um sich und ihr Netzwerk im Ernstfall zuverlässig zu schützen und den Datenverkehr zu stoppen. Dieser Filter kombiniert vorbeugende, reaktive und proaktive Maßnahmen zu einer vollständigen Lösung, die Internetnutzungsrichtlinien durchsetzt und den Zugang zu Webseiten und Internetanwendungen, die nichts mit den geschäftlichen Aktivitäten zu tun haben, blockt. (Barracuda: ra)