Exploit-Kits

August 29, 2023

Bedrohungsakteure finden ständig neue Wege, um die Sicherheit von Unternehmen anzugreifen. Eine solche Methode ist der Einsatz von Exploit-Kits. Diese Tools zielen auf Schwachstellen ab und verbreiten häufig Malware, um Unternehmen für künftige Angriffe zu schwächen. Exploit-Kit-Angriffe erfolgen stufenweise und sind auf bestimmte Arten von Sicherheitsschwachstellen ausgerichtet.

Damit Sie sich vor Exploit-Kit-Angriffen schützen können, müssen Sie wissen, wie diese funktionieren und was sie erfolgreich macht. Die richtigen Cybersicherheitsmaßnahmen können Ihrem Unternehmen den nötigen Schutz bieten. Anhand von Beispielen für Exploit-Kit-Angriffe gewinnen Sie besseren Einblick in deren Funktionsweise. Der Schutz Ihres Unternehmens vor Exploit-Kit-Angriffen ist ein wichtiger Teil Ihrer Cybersicherheitsmaßnahmen.

Was ist ein Exploit-Kit?

Ein Exploit-Kit ist ein Toolkit, mit dem Bedrohungsakteure bestimmte Schwachstellen in einem System oder Code angreifen. Wenn es ihnen gelungen ist, diese Schwachstellen auszunutzen, führen sie andere böswillige Aktivitäten durch, beispielsweise die Verbreitung von Malware oder Ransomware. Exploit-Kits verdanken ihren Namen den Exploits, die sie verwenden – also dem Code, der die Sicherheitslücken und Software-Schwachstellen ausnutzt. Exploits können zwar auch von Sicherheitsteams geschrieben werden, um potenzielle Bedrohungen nachzuweisen, doch in der Regel werden sie von Angreifern erstellt.

Beispiele für Exploit-Kits

Einige Exploit-Kits veröffentlichen schädliche Anzeigen auf viel besuchten Websites wie YouTube und Yahoo. Andere nutzen die Sicherheitslücken in beliebten Programmen wie Adobe Flash Player aus. Exploit-Kits wie diese werden sogar häufig mit anderen Arten von Angriffen, darunter Ransomware, gegen eine Vielzahl von Unternehmen in Verbindung gebracht. Da es sich um Gruppen mit mehreren Tools handelt, können sie in der Regel mehrere Schwachstellen angreifen. Dies sind einige der bekanntesten Beispiele für Exploit-Kits:

  • Angler-Exploit-Kit: Dieses leistungsstarke Exploit-Kit wurde 2013 entdeckt und für Angriffe auf Java, Silverlight und Flash eingesetzt. Es nutzte Transposition zum Verschlüsseln und Entschlüsseln von Daten.
  • HanJuan-Exploit-Kit: Dieses Exploit-Kit wurde 2015 von Cyberkriminellen für Malvertising-Angriffe genutzt und umfasste verkürzte URLs und gefälschte Anzeigen.
  • Magnitude-Exploit-Kit: Dieses Exploit-Kit war auf Browser-Schwachstellen von Internet Explorer ausgerichtet. 2021 wurden weitere Exploits hinzugefügt.
  • Rig-Exploit-Kit: Dieses 2014 entdeckte Exploit-Kit verbreitet sich über Malvertising, wobei die Malware in herunterladbarer „Sicherheitssoftware“ versteckt ist.

Dies sind nur einige Beispiele für weit verbreitete und bekannte Exploit-Kits. Eine vollständige Liste aller Exploit-Kits würde den Rahmen sprengen. Für den Schutz Ihres Unternehmens ist es wichtig, dass Sie wissen, wie diese Exploit-Kits funktionieren.

So funktionieren Exploit-Kits

Exploit-Kits funktionieren in der Regel alle auf die gleiche Weise, unabhängig vom Ziel oder der Art der Malware. Zunächst wird die kompromittierte Website ausgenutzt. Nachdem mehrere Phasen durchlaufen wurden, werden die Exploits ausgeführt, die die Malware freisetzen und die täglichen Abläufe eines Unternehmens stören. Einige neuere Exploit-Kits sind zweistufig aufgebaut und werfen ein noch weiteres Netz aus.

So wird ein Exploit-Kit ausgeführt

Der erste Schritt eines Exploit-Kits ist die Kompromittierung einer Website. Die kompromittierte Webseite beginnt damit, den Datenverkehr auf eine separate Landing Page umzuleiten. Diese neue Landing Page umfasst schädlichen Code, der das Gerät des Opfers auf anfällige Browser-Anwendungen untersucht. Danach durchläuft das Exploit-Kit mehrere Phasen, bis das Ziel mit dem schädlichen Code infiziert ist.

Die Stufen eines Exploit-Kit-Angriffs

Ein Exploit-Kit-Angriff erfolgt in der Regel nach dem gleichen Schema, unabhängig davon, welche Malware genutzt oder welches Unternehmen angegriffen wird. Dazu gehören beispielsweise auch die Zero-Day-Exploits in Adobe Reader PDF-Dateien.

  • Über eine Landing Page wird eine Verbindung zu einer Host-Umgebung erstellt.
  • Der Datenverkehr wird auf eine andere Landing Page umgeleitet. Dann werden die Schwachstellen erfasst, die die Exploits im Toolkit ausnutzen können.
  • Die relevanten Exploits werden implementiert und die Malware wird im gesamten System verbreitet.
  • Die Malware wird ausgeführt und infiziert die Host-Umgebung mit dem schädlichen Code.

Abgesehen von diesen typischen Phasen gibt es seit 2021 auch einen zweistufigen Exploit. Dabei wird zunächst ein breiter Angriff gestartet, um so viele Personen wie möglich zu ködern. Die Malware wird erst dann ausgeführt, wenn die betreffenden Personen bestimmte Kriterien erfüllen. Unterschiedliche Exploits sind je nach Angriffsziel auf unterschiedliche Sicherheitsschwachstellen ausgerichtet.

Von Exploit-Kits ausgenutzte Schwachstellen

Wenn Sie wissen, auf welche Arten von Schwachstellen Exploit-Kits ausgerichtet sind, können Sie Ihr Unternehmen besser dagegen verteidigen. Einige Exploit-Kits sind clientseitige Angriffe, das heißt, sie funktionieren nur, wenn das Opfer den schädlichen Inhalt heruntergeladen hat. Durch Verhindern des Downloads von schädlichem Code können Sie also Sicherheitsschwachstellen reduzieren.

Die Arten von angegriffenen Schwachstellen

Einige Schwachstellen können von Exploit-Kits nicht angegriffen werden. Diese theoretischen Schwachstellen lassen sich aus verschiedenen Gründen nicht ausnutzen. Ein möglicher Grund ist, dass ein Angreifer nicht über ausreichend öffentliche Informationen verfügt. Auch Anforderungen in Bezug auf die Autorisierung und den Zugriff auf lokale Systeme können dazu beitragen, dass Exploit-Kits nicht funktionieren.

Bei einem clientseitigen Exploit-Kit-Angriff werden die Exploits durch das Opfer ausgelöst, das den schädlichen Code heruntergeladen hat. Ein Beispiel dafür wäre ein gefälschter Google Chrome-Download, der die Browser-Aktivität kapert und spezifische Anzeigeninhalte liefert. Unabhängig davon, ob ein Exploit-Kit clientseitig oder serverseitig ausgeführt wird, ist es darauf ausgelegt, Sicherheitsschwachstellen folgender Art auszunutzen:

Code kann viele Schwachstellen enthalten, die keine Warnsignale auslösen und daher unentdeckt bleiben. Die Liste der ausnutzbaren Schwachstellen ist lang. Wie können Sie sich also vor Exploit-Kits schützen?

Wie können Sie sich vor Exploit-Kits schützen?

Damit Sie sich vor Exploit-Kit-Angriffen schützen können, müssen Sie wissen, wo Ihr Unternehmen angreifbar ist, und entsprechende Sicherheitsmaßnahmen ergreifen. Exploit-Kits sind weit verbreitet, weil sie einfach auszuführen sind und dem Angreifer oft erheblichen Gewinn einbringen. Sie können sich und Ihr Unternehmen mit verschiedenen Maßnahmen vor Exploit-Kit-Angriffen schützen.

Warum Exploit-Kit-Angriffe erfolgreich sind

Exploit-Kits funktionieren automatisiert und sind eine beliebte Methode zur Massenverbreitung von Malware. Dies erleichtert Angreifern den Zugang, und sobald ein Exploit-Kit ausgeführt wurde, können die Angreifer mühelos Gewinne erzielen. Da Exploit-Kits bekannte Sicherheitsschwachstellen angreifen, sind sie sehr wirksam. Zudem bleiben sie leichter unerkannt, wenn Sie nicht wissen, auf welche Aktivitäten Sie achten müssen.

Schutz vor Exploit-Kit-Angriffen

Sie können sich mit verschiedenen Maßnahmen vor den Exploit-Kit-Angriffen eines Bedrohungsakteurs schützen. Die erste besteht darin, in Ihre Cloud-Sicherheit zu investieren. Dies umfasst beispielsweise zusätzliche Schulungen für Ihre Cybersicherheitsteams oder den Kauf von Sicherheitsservices. Virenschutz-Programme können Sie zwar nicht vor allen Bedrohungen schützen, sind aber dennoch eine gute Verteidigungslinie.

Das regelmäßige Patchen von Software, sodass sie auf dem neusten Stand bleibt, trägt dazu bei, die Entstehung von Schwachstellen in Ihrem System zu verhindern. Zur Vorbeugung empfiehlt es sich außerdem, Werbeanzeigen und Popups zu vermeiden und nie auf fragwürdige Links zu klicken. Wenn Sie diesen Ratschlägen folgen, können Sie verhindern, dass Ihr Unternehmen durch Cyberangriffe Schaden nimmt.