Heißer Trend 2018: Krypto-Entführung („Cryptojacking“) – Drei Schritte um festzustellen, ob Ihr Unternehmen betroffen ist

data-code

Cryptojacking, eine Wortschöpfung aus den englischen Begriffen „Cryptocurrency“ (Kryptowährung) und „Hijacking“ (Entführung), bedeutet, dass Angreifer Ihre Rechner, Server und sonstige Infrastruktur ohne Ihr Wissen übernehmen und dann die Rechenleistung für ihre Ziele missbrauchen. Dieses Vorgehen wird für das Schürfen („minen“) von digitaler Währung (wie z.B. Bitcoin) genutzt, um damit Geld zu verdienen.

 

Eine solche Attacke ist heimtückisch, denn zum einen merken es die Opfer wenn überhaupt nur indirekt, z.B. durch Beeinflussung der Funktionalität der Hardware. Zum anderen sind die Folgen dieser Attacken vielfältig und oft auch indirekt: Hohe Stromrechnungen, verzögerte Abläufe, Störungen in betrieblichen Abläufen – all das kostet bares Geld.

Die Angriffsart nimmt derzeit deutlich an Beliebtheit zu, zwischen Januar und Mai 2018 wurden bereits über 3 Mio. Attacken gezählt (Quelle).

Diese drei Techniken werden verwendet, um die Angriffe möglichst zu verschleiern:

  1. Die Verwendung von verschlüsseltem Verkehr
  2. Die Verwendung von zufälligen Zeiträumen zwischen Verbindungen
  3. Das Verstecken in größeren Datenmengen

Cryptojacking ist besonders erfolgreich für Angreifer, da die Vorgänge nur sehr schwer aufgedeckt werden können. Warum diese Angriffsart mittlerweile deutlich beliebter ist, als Ransomware vor einem Jahr, erfahren sie im nächsten Newsletter.

Wie können Unternehmen nun die Anwendung von Cryptojacking aufdecken und letztendlich verhindern?

Wir zeigen drei Schritte, die dabei helfen:

  1. Wissen, was im Netzwerk passiert
  2. Auffälliges Verhalten im Netzwerkverkehr identifizieren
  3. Regeln treffen, um Missbrauch zu verhindern

#1 Wie können Sie heute feststellen, was tatsächlich durch Ihre Datenleitungen fließt?

Es gibt viele unterschiedliche Wege, um sich einen Überblick über das zu verschaffen, was tatsächlich im Unternehmensnetzwerk vor sich geht. Es gibt die Möglichkeit, über SIEM-Systeme Logdaten und Events auszuwerten. In diesem Artikel haben wir detailliert beschrieben, wieso dies nur begrenzt zielführend ist, um extrem versteckt ablaufende Prozesse aufzudecken.

Zusammengefasst: Es genügt nicht, sich auf Logdaten und Metadaten zu verlassen. Der Einsatz von verteilten Netzwerksensoren und die automatisierte Erfassung sowie die Auswertung jedes Datenpaketes ist der grundlegende Baustein für eine Cyber-Abwehrstrategie.

#2 Wenn Sie den vollständigen Überblick haben, wie stellen Sie fest, was auffällig ist?

Im Fall von Cryptojacking ist es besonders wichtig, eine intelligente Verhaltensanalyse des Netzwerkverkehres durchzuführen. Dies funktioniert durch den Einsatz von Netzwerksensoren, welche den Datenverkehr dauerhaft und bis ins kleinste Detail auswerten – und dies ressourcenschonend.

„Verbindungen zu auffälligen Domains sowie anomalen Häufigkeiten und Verhaltensmustern zu identifizieren – insbesondere in verschlüsseltem Verkehr – ist für uns heute die effektivste Möglichkeit, um geheim ablaufenden Crypto-Minern auf die Schliche zu kommen“, so Dominique Petersen, Leiter Advanced Threat Detection bei finally safe.

Ein Beispiel sind Client-Systeme, die z.B. nachts eine andauernde hohe CPU-Auslastung haben und plötzlich sehr viele ungewöhnliche Netzwerkverbindungen aufbauen.

#3 Sie haben den Überblick und die Auffälligkeiten identifiziert, wie können Sie diese nun zukünftig unterbinden?

Werden auffällige Systeme identifiziert ist es wichtig, diese genau zu untersuchen. Crypto-Miner können sich auf dem jeweiligen System tief eingenistet haben und müssen restlos entfernt werden. Anschließend muss geschaut werden, auf welchem Wege die Infektion durchgeführt wurde. Oft wurden hierbei Sicherheitslücken durch alte Browser oder verwundbare Software ausgenutzt, die dringend aktualisiert und behoben werden sollten.

Eine volatile Crypto-Miner-Variante ist das Schürfen von digitaler Währung im Browser. Dazu werden meist per JavaScript die Mining-Operationen auf unauffälligen Webweiten versteckt, die der eigene Browser dann bei einem Besuch im Hintergrund unbemerkt ausführt. Oft werden diese Crypto-Miner auch von externen Webseiten z.B. via Ad-Server eingebunden, ohne dass der Betreiber dies mitbekommt. Hier hilft es, diese Webseiten zu identifizieren und diese in Zukunft nicht mehr anzusteuern.

Zusammenfassung

Mit den heute vorhandenen Tools und Techniken können Sie nicht nur Crypto-Minern, sondern auch vielfältigen Angriffen von sowohl aktueller als auch zukünftiger Erscheinungsform begegnen. Neben organisatorischen Maßnahmen und Richtlinien, wie beispielsweise die ISO 27001, ist der Einsatz technischer State-of-the-Art-Lösungen wesentlicher Bestandteil einer IT-Sicherheitsstrategie.

Haben Sie Fragen zu den oben aufgeführten Beispielen? Kontaktieren Sie uns gerne über unser Anfrageformular!

 

Zurück