Vermehrte Verwendung von Malware-Funktionen bei Crypto-Minern

Bitcoin

Illegale Verwendung von Trojaner- und Malwarefunktionalitäten bei Crypto-Minern in Unternehmen. Neben Server-Systemen auch Clients per Browser verwundbar.

 

Aktuell gibt es ca. 1.500 verschiedene Kryptowährungen [1]. Da seit Ende letzten Jahres viele Kurse explodiert sind, beträgt die aktuelle Marktkapitalisierung der Kryptowährungen über 450 Milliarden Dollar. Dies weckte vor allem 2017 viele Begehrlichkeiten bei Hackern, zumal die meisten Kryptowährungen auch relativ anonym verwendet werden können.

So war ein Trend 2017, mittels Ransomware ganze Client- und Server-Landschaften - auch von großen Unternehmen - in Geiselhaft zu nehmen und sich das Lösegeld z.B. in Bitcoin anonym überweisen zu lassen. Dies war für die Angreifer aber nicht nur aufwändig, da sie die Ransomware entwickeln und immer wieder anpassen mussten - die Bezahlung des Lösegeldes war, bis auf wenige Ausnahmen, für den entstandenen Aufwand nur sehr gering, obwohl weltweit enorme Schäden (bei WannaCry reichen die Schätzungen alleine von einigen Hundert Millionen bis zu vier Milliarden Dollar) zu verzeichnen waren.

Um dennoch an Geld von Unternehmen zu gelangen, haben die Hacker ihre Methoden angepasst. Statt das infizierte System zu verschlüsseln und sich so direkt bemerkbar zu machen, gehen Angreifer aktuell leiser vor, indem sie die Systeme zum Schürfen von Kryptowährungen missbrauchen. Zwar ist ein System alleine dafür aktuell nicht mehr profitabel, aber die Hacker zahlen weder die initiale Hardware noch den Strom und sie können bequem Hunderttausende von Systemen verwenden. So lassen sich durch enormen Wertverlust bei Unternehmen, durch größere Hardware-Abnutzung, hohem Stromverbrauch und geringerer Produktivität in kurzer Zeit bis zu Millionen Dollar einnehmen.

Bei den Crypto-Minern gibt es aktuell zwei beliebte Vorgehensweisen: Das Schürfen mittels Malware auf den IT-Systemen und per Einbindung über den Browser. Besonders lukrativ sind dabei Server-Farmen oder Cloud-Landschaften, bei denen die Crypto-Miner Trojaner-Fähigkeiten mitbringen: So finden sich prominente Beispiele bei denen z.B. in der Amazon-Cloud (AWS) von großen Unternehmen von Hackern illegal Bitcoins geschürft wurden und so ein enormer Schaden entstand - denn die Cloud-Dienstleistungen werden üblicherweise nach verbrauchten Ressourcen abgerechnet. Um ebenfalls viele Systeme zum Minen zu bewegen, ist mittlerweile auch die Verwendung per Browser profitabel. Hierbei wird entweder direkt auf der eigenen, meist schon fragwürdigen, Webseite ein Crypto-Miner per JavaScript eingebunden, oder dies ähnlich den Werbenetzwerken verteilt. Auch schadhafte Browser-Plugins sind hier schon vermehrt im Einsatz, die beispielsweise auch bei fremden Crypto-Minern die Wallet (sog. Geldbörse) gegen die eigene austauschen. Auch die Verbreitung über bekannte Schwachstellen wie Eternal Blue in offenen SMB-Freigaben (siehe Sicherheitsinformation FS-S/2017-0005 vom 18.04.2017) wird verwendet [2]. Ein weiterer Trend ist es sogar, mittels MITM z.B. in Cafes mit WLAN einen Crypto-Miner einzubinden [3].

Um sich zu schützen, können Blocklisten bekannter Miner und schadhafter Webseiten verwendet werden. Vor kurzem ist jedoch ein Crypto-Miner aufgetaucht [4], der noch mehr Funktionalitäten von klassischer Malware mitbringt. So werden hierbei sog. DGA-Domains (Domain Generation Algorithm) verwendet, die erst zur Laufzeit mittels eines bestimmten Verfahrens, das sonst nur der Angreifer kennt, die zu verwendenden Domains erstellt und so klassische Blocklisten unbrauchbar macht und es auch Strafverfolgern erschwert, die Domains im Vorfeld zu beschlagnahmen. Da sich Crypto-Miner immer mehr Funktionalitäten von klassischer Malware abschauen, müssen hier mittlerweile auch moderne Schutzsysteme zum Einsatz kommen.

Betroffene Systeme:

  • Client- und Server-Systeme sowie Cloud-Landschaften
  • Browser mit aktiven Inhalten (wie JavaScript)

Empfehlung:

Anwender können auf merkwürdiges Verhalten ihres Clients achten. Viele Crypto-Miner nutzen fast die gesamten CPU-Kapazitäten aus, sodass andere Anwendungen deutlich langsamer werden. Zudem kann über eine Deaktivierung von aktiven Inhalten (wie JavaScript) nachgedacht werden. Server-Administratoren sollten mittels Monitoring-Tools permanent die CPU-Auslastungen überwachen und bei großen Abweichungen genauer hinschauen. Bei stark belasteten Servern oder Cloud-Systemen sollten darüber hinaus Host-basierte Erkennungen verwendet werden.

Einen weiteren guten Schutz für Unternehmen bieten Blocklisten für Crypto-Miner, die zentral in die Firewall eingespielt werden. Hier muss allerdings gewährleistet sein, dass diese ständig aktualisiert werden. Zudem sollte über ein modernes Schutzsystem nachgedacht werden, welches neben den aktuellen Blocklisten auch eine Erkennung von DGA-Domains enthält.

Erkennung mit der Advanced Security Analytics Platform von finally safe:

Anwender können mit der Lösung überprüfen, ob es Zugriffe auf die Infrastrukturen von gängigen Crypto-Minern und SMB-Freigaben gab oder gibt. Diese Informationen sind abhängig von den eingesetzten Modulen zu finden:

  • Haben Sie den Management-Report abonniert, haben wir bereits mögliche Zugriffe Ihrer IT-Systeme über das SMB-Protokoll sowie Zugriffe von veralteten Systemen, wie Windows XP, analysiert und aufgelistet.
  • Falls Sie wöchentlich einen technischen Report erhalten, stehen die SMB-Zugriffe in der Verbindungsübersicht und die verwendeten veralteten Systeme bei den Betriebssystemen.
  • Falls Sie den Network-Compliance-Verifier aktiviert haben, können Sie im Webportal gezielt die SMB-Zugriffe sowie veraltete Systeme finden und dabei direkt die betroffenen IP-Adressen Ihrer Clients ermitteln.
  • Im Expertensystem können Sie sich unter Zuhilfenahme der bekannten SMB-Ports sowie veralteten Betriebssystemen anzeigen lassen, ob Sie solchen Netzwerkverkehr haben.
  • Falls Sie den ATD-Sensor aktiviert haben, können Sie im Webportal gezielt die Zugriffe auf die Infrastrukturen von Crypto-Minern finden und dabei direkt die betroffenen IP-Adressen Ihrer Clients oder Server ermitteln. Dabei werden neben jeweils aktuellen Blocklisten auch die aufgelösten Domains und HTTP-Zugriffe auf DGA-Domains hin untersucht.

Quellen / weitere Informationen:

 

Zurück