Die komplette Wahrheit über Viren & Co.

Donnerstag, 21. Januar 2021

Die heutige Ausgabe gibt Ihnen einen Einblick in die Welt der bösartigen Skripte und zeigt, wie Dr.Web diesen Skripten Widerstand leistet und wie Sie sich vor ihnen schützen können.

Einer unserer Leser stellte auf Social Media eine Frage zu bösartigen Skripten und allgemeiner Internetsicherheit. Insbesondere wollte er wissen, wie man sich vor JavaScript und anderen bösartigen Skripten, die in Webseiten eingebettet sind, schützen kann und wie man Dr.Web Web-Antivirus richtig konfiguriert. Gehen wir der Sache auf den Grund.

Würden wir alle bösartigen Skripte beschreiben, die unsere Analysten je geprüft haben, hätte dieser Beitrag den Umfang eines Lehrbuchs. Sie haben wahrscheinlich schon festgestellt, dass es sich um eine sehr vielfältige und daher weit verbreitete Art von Malware handelt.

Was ist also ein bösartiges Skript?

Im weitesten Sinne ist jedes Skript ein Programmcode (Skript), der in verschiedenen interpretierten Sprachen geschrieben ist. Alle Skripte werden mit Hilfe eines externen Programms (Interpreter) ausgeführt. Im Gegensatz zu ausführbaren Dateien liegen Skripte meist in Form von Textdateien vor und können von einem Menschen gelesen werden. Es ist fast unmöglich, den Quellcode einer kompilierten Datei in seiner ursprünglichen Form wiederherzustellen, während Skripte immer den Quellcode enthalten. Im Prinzip unterscheiden sich "schlechte" Skripte nicht von "guten" Skripten.

Bösartige Skripte können in zwei Arten unterteilt werden:

1. Skripte, die in den Code von Webseiten eingebettet sind, vom Browser interpretiert werden und die von Angreifern festgelegten Aktionen ausführen.
2. Skripte, die für die Ausführung auf dem Computer eines Benutzers bestimmt sind. Sie werden von Betriebssystemkomponenten ausgeführt und haben Zugriff auf APIs (Dateisystem, Prozesse, etc.).

Im Zusammenhang mit dem Internet beziehen sich bösartige Skripte am häufigsten auf die erste Art. Solche Skripte sind in der Regel in JavaScript und PHP geschrieben. Sie befinden sich im Code kompromittierter Websites und versuchen, Kryptowährung im Browser des Benutzers zu schürfen, Werbung anzuzeigen sowie auf andere Websites umzuleiten, die oft betrügerisch und gefährlich sind. Web-Skripte können auch PHP-Infektoren enthalten, die "gute" Skripte auf der Server-Seite infizieren. Darüber hinaus kann bösartiger Code in Browser-Erweiterungen enthalten sein.

Theoretisch könnte ein Webseitenskript als Exploit verwendet werden. Es sind Daten, die von einem Browser fehlinterpretiert werden, um Zugriff auf ein angegriffenes System zu erhalten. Allerdings sind solche Exploits heutzutage aufgrund des Entwicklungsstands von Browsern, die den Zugriff auf Betriebssystemfunktionen einschränken, seltener geworden. Es ist also unwahrscheinlich, dass bösartiger Code auf einer Website den Computer schädigen kann. Trotzdem reichen die genannten zerstörerischen Funktionen aus, um das Leben eines Anwenders zu beeinträchtigen. Werbung, Betrug, Phishing, Verlangsamung des Browsers und sogar das Hacken von Websites selbst sind auf Web-Skripte zurückzuführen. Darüber hinaus sind sie plattformübergreifend und sehr verbreitet: Angreifer setzen sie massenhaft ein, um Webseiten und Webserver zu infizieren.

Aber es sind nicht nur Webseiten gefährdet. Es existiert eine weitere Art von bösartigen Skripten, die von Betriebssystemkomponenten ausgeführt werden. Sie können in verschiedenen Skriptsprachen geschrieben werden: JScript, VBS, PowerShell, Perl, Python usw.

Diese Skripte sind weitaus gefährlicher, weil sie direkt auf die API-Objekte zugreifen. Obwohl Skripte nur sehr selten grundlegende Funktionen enthalten, werden sie häufig entweder zum anfänglichen Laden anderer bösartiger Module in infizierte Systeme oder für Zwischenaktionen bzw. Hilfsoperationen verwendet. So sind in Windows PowerShell-Skripte, Exploits oder Dienstprogramme enthalten, die das Eindringen ins System/Netzwerk ermöglichen. Obwohl Skripte als plattformübergreifendes Werkzeug angesehen werden, funktionieren einige von ihnen nur unter den vorgesehenen Betriebssystemen, da einige System-APIs für ihre Funktion wichtig sind. Die erwähnte PowerShell sowie BAT- und JScript-Skripte funktionieren unter Windows, AppleScript ist für macOS gedacht, und Malware für Linux wird oft als Bash-Skript ausgegeben.

Systemskripte für Betriebssysteme werden meist per E-Mail verbreitet, auf gehackten und bösartigen Websites weitergegeben, von anderen Programmen heruntergeladen oder über Wechselmedien und Netzwerkressourcen verteilt.

Darüber hinaus werden fast alle bösartigen Skripte verschleiert. Das bedeutet, dass zur Erkennung oft andere Techniken als die traditionellen signaturbasierten Vergleiche verwendet werden müssen.

Um Windows-Systemskripte zu neutralisieren, wenden wir maschinelle Lernalgorithmen an, die in die Viren-Engine eingebettet sind. Dieser Ansatz ermöglicht es uns, bösartigen Code unabhängig von seiner Komplexität erfolgreich zu erkennen, was mit signaturbasierter Analyse unmöglich wäre.

Zum Blockieren von Web-Skripten wird unser heuristikbasiertes Analyse-Tool und Web-Antivirus SpIDer Gate verwendet. Für einen effektiven Schutz müssen Dr.Web Komponenten nicht zusätzlich konfiguriert werden. Die Standardeinstellungen bieten einen optimalen Schutz.

Fazit: Skripte können eine Vielzahl von bösartigen Nutzlasten tragen – Exploits, Miner, Hilfsprogramme, Adware-Trojaner und sogar Verschlüsselungs-Ransomware. Gegen diese muss man einen zuverlässigen Schutz verwenden.