Kriminelle nutzen Ransomware-ähnliche Taktiken und verseuchte Websites, um die Computer von Arbeitnehmern zum Mining von Kryptowährungen zu benutzen. Das können Sie tun, um das zu verhindern. [...]
Definition von Cryptojacking: Cryptojacking ist die unbefugte Nutzung der Rechenressourcen eines anderen, um Kryptowährungen zu minen. Hacker versuchen, jede Art von System zu kapern, das sie übernehmen können – Desktops, Server, Cloud-Infrastruktur und mehr – um illegal Kryptowährungen zu sammeln.
Unabhängig vom Übertragungsmechanismus läuft der Cryptojacking-Code in der Regel unbemerkt im Hintergrund, während die ahnungslosen Opfer ihre Systeme normal nutzen. Die einzigen Anzeichen, die sie bemerken könnten, sind eine langsamere Leistung, Verzögerungen bei der Datenverarbeitung, Überhitzung, übermäßiger Stromverbrauch oder ungewöhnlich hohe Cloud-Computing-Rechnungen.
So funktioniert Cryptojacking
Coin-Mining ist ein legitimer Prozess in der Welt der Kryptowährungen, durch den neue Kryptowährungen in Umlauf gebracht werden. Der Prozess funktioniert, indem der erste Miner, der ein komplexes Rechenproblem löst, mit Währung belohnt wird. Dieses Problem vervollständigt Blöcke verifizierter Transaktionen, die der Blockchain der Kryptowährung hinzugefügt werden.
„Miner werden im Wesentlichen für ihre Arbeit als Prüfer bezahlt. Sie verifizieren die Legitimität von Bitcoin-Transaktionen“, heißt es in einem kürzlich erschienenen Investopedia-Bericht über die Funktionsweise des Bitcoin-Minings. „Neben dem Füllen der Taschen der Miner und der Unterstützung des Bitcoin-Ökosystems dient das Mining einem weiteren wichtigen Zweck: Es ist die einzige Möglichkeit, neue Kryptowährung in Umlauf zu bringen.
Die Gewinnung von Kryptowährung durch Mining erfordert in der Regel eine enorme Menge an Rechenleistung und Energie, um sie zu erzeugen. Darüber hinaus ist das Ökosystem der Kryptowährungen so konzipiert, dass das Mining schwieriger wird und die Belohnungen dafür mit der Zeit und mit mehr Mining-Wettbewerb sinken. Dies macht das legale Mining von Kryptowährungen zu einer extrem kostspieligen Angelegenheit, bei der die Kosten ständig steigen.
Cyberkriminelle senken die Mining-Kosten, indem sie einfach Rechen- und Energieressourcen stehlen. Sie nutzen eine Reihe von Hacking-Techniken, um sich Zugang zu Systemen zu verschaffen, die die Rechenarbeit unerlaubt durchführen, und lassen diese gekaperten Systeme dann die Ergebnisse an einen vom Hacker kontrollierten Server senden.
Angriffsmethoden des Cryptojacking
Die Angriffsmethoden sind nur durch die Kreativität der Cryptojacker begrenzt, aber die folgenden sind einige der heute am häufigsten verwendeten Methoden.
Endpunkt-Angriffe
In der Vergangenheit war Cryptojacking in erster Linie ein Problem mit Endpunkt-Malware und diente als ein weiteres Ziel, um mit Malware auf Desktops und Laptops Geld zu verdienen. Traditionelle Cryptojacking-Malware wird über typische Wege wie dateilose Malware, Phishing-Schemata und eingebettete bösartige Skripte auf Websites und in Webanwendungen verbreitet.
Der einfachste Weg, wie Cryptojacking-Angreifer Ressourcen stehlen können, besteht darin, Endpunktbenutzern eine legitim aussehende E-Mail zu senden, die sie dazu auffordert, auf einen Link zu klicken, der Code ausführt, um ein Cryptomining-Skript auf ihrem Computer zu platzieren. Das Skript läuft im Hintergrund und sendet die Ergebnisse über eine Command-and-Control-Infrastruktur (C2) zurück.
Eine andere Methode besteht darin, ein Skript auf einer Website oder in einer Anzeige zu platzieren, die auf mehreren Websites angezeigt wird. Sobald das Opfer die Website besucht oder die infizierte Anzeige in seinem Browser erscheint, wird das Skript automatisch ausgeführt. Es wird kein Code auf den Computern der Opfer gespeichert.
Diese Wege sind nach wie vor ein legitimes Problem, auch wenn die Kriminellen bereits ihre Cryptojacking-Methoden erheblich verfeinert haben, um ihre Gewinne zu steigern.
Suche nach anfälligen Servern und Netzwerkgeräten
Angreifer versuchen, die Rentabilität von Cryptojacking zu steigern, indem sie ihren Horizont auf Server, Netzwerkgeräte und sogar IoT-Geräte ausweiten. Server sind zum Beispiel ein besonders interessantes Ziel, da sie in der Regel eine höhere Leistung haben als ein gewöhnlicher Desktop-Rechner. Sie sind auch im Jahr 2022 ein bevorzugtes Jagdrevier, da die Angreifer nach Servern suchen, die dem öffentlichen Internet ausgesetzt sind und Schwachstellen wie Log4J enthalten, die Schwachstelle ausnutzen und unbemerkt Kryptomining-Software auf das System laden, die mit den Servern der Hacker verbunden ist. Oftmals nutzen die Angreifer das zunächst kompromittierte System, um ihr Cryptojacking seitlich auf andere Netzwerkgeräte auszuweiten.
„Wir beobachten einen Anstieg von Kryptojacking, der auf die Log4J-Schwachstelle zurückzuführen ist“, sagt Sally Vincent, Senior Threat Research Engineer bei LogRhythm. „Hacker dringen in Netzwerke ein und installieren Malware, die den Server dann zum Mining von Kryptowährungen nutzt.“
Angriffe auf die Software-Supply-Chain
Cyberkriminelle nehmen die Supply Chain von Software ins Visier, indem sie Open-Source-Code-Repositories mit bösartigen Paketen und Bibliotheken bestücken, die in ihrem Code eingebettete Cryptojacking-Skripte enthalten. Da Entwickler diese Pakete weltweit millionenfach herunterladen, können diese Angriffe die Cryptojacking-Infrastruktur für die Bösewichte in zweierlei Hinsicht schnell vergrößern.
Die bösartigen Pakete können verwendet werden, um die Systeme von Entwicklern – und die Netzwerke und Cloud-Ressourcen, mit denen sie verbunden sind – direkt als illegale Krypto-Mining-Ressourcen zu nutzen. Oder sie können diese Angriffe nutzen, um die Software, die diese Entwickler erstellen, mit Komponenten zu vergiften, die Kryptomining-Skripte auf den Rechnern der Endbenutzer einer Anwendung ausführen.
Nutzung der Cloud-Infrastruktur
Viele Cryptojacker machen sich die Skalierbarkeit von Cloud-Ressourcen zunutze, indem sie in die Cloud-Infrastruktur eindringen und eine noch größere Anzahl von Compute-Pools für ihre Mining-Aktivitäten anzapfen. Eine Studie des Cybersecurity Action Teams von Google aus dem letzten Herbst ergab, dass 86 % der kompromittierten Cloud-Instanzen für Krypto-Mining verwendet werden.
„Heutzutage zielen Angreifer mit allen Mitteln auf Cloud-Dienste ab, um immer mehr Kryptowährungen zu minen, da Cloud-Dienste es ihnen ermöglichen, ihre Berechnungen in einem größeren Maßstab als nur auf einem einzelnen lokalen Rechner durchzuführen, sei es durch die Übernahme der verwalteten Cloud-Umgebung eines Benutzers oder sogar durch den Missbrauch von SaaS-Anwendungen zur Ausführung ihrer Berechnungen“, schrieb Guy Arazi, Senior Security Researcher bei Palo Alto Networks, in einem Blogbeitrag.
Eine der häufigsten Methoden ist das Scannen nach offenen Container-APIs oder ungesicherten Cloud-Speicherbereichen und die Nutzung dieses Zugangs, um Coin-Mining-Software auf die betroffenen Container-Instanzen oder Cloud-Server zu laden.
Der Angriff wird in der Regel mit einer Scan-Software automatisiert, die nach Servern sucht, die für das öffentliche Internet zugänglich sind und über offene APIs oder einen nicht authentifizierten Zugang verfügen. Die Angreifer verwenden in der Regel Skripte, um die Payloads der Miner auf dem ursprünglichen System abzulegen und nach Möglichkeiten zu suchen, sie über verbundene Cloud-Systeme zu verbreiten.
„Die Rentabilität und die Leichtigkeit, mit der Cryptojacking in großem Maßstab durchgeführt werden kann, machen diese Art von Angriffen zu besonders lukrativen Zielen“, so Matt Muir, Sicherheitsforscher bei Cado Security, in einem Blogbeitrag, der erklärt, dass Cloud-basierte Angriffe besonders lukrativ sind. „Dies wird wahrscheinlich so lange anhalten, wie Nutzer Dienste wie Docker und Redis in nicht vertrauenswürdigen Netzwerken einsetzen.“
Warum Cryptojacking so beliebt ist
Einem Bericht von ReasonLabs zufolge waren im vergangenen Jahr 58,4 % aller entdeckten Trojaner Cryptojacker, die zum Mining von Coins eingesetzt werden. Eine andere Studie von SonicWall ergab, dass 2021 das bisher schlimmste Jahr für Cryptojacking-Angriffe war, da in dieser Kategorie im Laufe des Jahres 97,1 Millionen Angriffe verzeichnet wurden. Diese Zahlen sind deshalb so hoch, weil Cryptojacking für Cyberkriminelle praktisch eine Goldgrube ist.
Wenn ein Cyberkrimineller Kryptowährungen aus einem scheinbar unbegrenzten Pool kostenloser Rechenressourcen auf den Rechnern der Opfer schürfen kann, sind die Vorteile für ihn enorm. Selbst nach dem drastischen Einbruch der Wertigkeit von Bitcoin in diesem Jahr, der ihn unter die 30.000-Dollar-Marke brachte, sind die illegalen Gewinnspannen von Cryptojackern immer noch rentabel, da der Wert dessen, was sie minen, die Kosten für ihre kriminelle Infrastruktur bei weitem übersteigt.
Beispiele für Cryptojacking in freier Wildbahn
WatchDog attackiert Docker Engine API-Endpunkte und Redis-Server
Ein Honeypot des Sicherheitsforschungsteams von Cado Labs entdeckte [weiterführende Artikel in Englisch] einen mehrstufigen Cryptojacking-Angriff, der auf exponierte Docker Engine API-Endpunkte und Redis-Server abzielt und sich wurmartig ausbreiten kann. Der Angriff wird von der WatchDog-Angriffsgruppe verübt, die Ende 2021 und 2022 mit zahlreichen Cryptojacking-Kampagnen besonders aktiv war.
Alibaba ECS-Instanzen im Fadenkreuz der Kryptominer
TeamTNT war eine der ersten Hackergruppen, die den Schwerpunkt ihrer Cryptojacking-Aktivitäten stark auf Cloud-orientierte Dienste verlagerte. Forscher von TrendMicro berichteten Ende 2021, dass diese Gruppe zusammen mit Rivalen wie der Kinsig-Bande Cryptojacking-Kampagnen durchführte, bei denen Miner in Alibaba Elastic Computing Service (ECS)-Instanzen installiert und Sicherheitsfunktionen deaktiviert wurden, um einer Entdeckung zu entgehen.
Miner-Bots und Backdoors nutzen Log4J für Angriffe auf VMware Horizon-Server
Die Log4Shell-Schwachstelle war im Jahr 2022 ein Segen für Cryptojacking-Angreifer. In einem markanten Beispiel fanden Sophos Forscher Anfang des Jahres heraus, dass eine „Horde von Angreifern“ VMware Horizon-Server angriff, um eine Reihe von Cryptojacking-Payloads zu verbreiten, darunter den z0Miner, den JavaX-Miner und mindestens zwei XMRig-Varianten, Jin- und Mimu-Cryptocurrency-Miner-Bots.
Angriffe auf die Software-Supply-Chain über npm-Bibliotheken
Die Sicherheitsexperten für die Software-Supply-Chain von Sonatype schlugen im Herbst 2021 Alarm wegen bösartiger Kryptomining-Pakete, die sich in npm, dem von Entwicklern weltweit genutzten JavaScript-Paket-Repository, verstecken. Damals wurde ein Trio von Paketen gefunden, von denen sich mindestens eines als eine beliebte, legitime Bibliothek namens ua-parser-js“ ausgab, die von Entwicklern wöchentlich über 7 Millionen Mal heruntergeladen wird und ein idealer Weg wäre, um Entwickler dazu zu verleiten, versehentlich ein schädliches Codeelement herunterzuladen und es in ihrer Software zu installieren.
Einige Monate nach diesem Bericht veröffentlichten die Forscher von WhiteSource (jetzt Mend) einen weiteren Bericht, aus dem hervorging, dass es in npm von bösartigem Code nur so wimmelt – bis zu 1.300 solcher Pakete, die Cryptojacking und anderes schändliches Verhalten beinhalten.
Rumänische Angreifer zielen mit Kryptomining-Malware auf Linux-Rechner
Letzten Sommer entdeckte Bitdefender eine rumänische Hackergruppe, die Linux-basierte Rechner mit SSH-Zugangsdaten angriff, um Monero-Mining-Malware einzusetzen. Die verwendeten Tools wurden über ein As-a-Service-Modell vertrieben. Dieses Beispiel war die Speerspitze eines anscheinend wachsenden Trends von Krypto-Mining-Angriffen auf Linux-Systeme. In einem Bericht von VMware wurde Anfang des Jahres beschrieben, dass zunehmend Linux-basierte Multi-Cloud-Umgebungen ins Visier genommen werden, insbesondere unter Verwendung der Mining-Software XMRig.
„Viele der Kryptomining-Samples von Linux-basierten Systemen stehen in irgendeiner Beziehung zur XMRig-Anwendung“, erklärte der Bericht, der zeigte, dass 89 % der Kryptomining-Angriffe XMRig-bezogene Bibliotheken verwendeten. „Wenn also XMRig-spezifische Bibliotheken und Module in Linux-Binärdateien identifiziert werden, ist dies wahrscheinlich ein Hinweis auf potenzielles Kryptomining-Verhalten.“
CoinStomp bedient sich ausgeklügelter Verschleierungstaktiken
CoinStop ist eine weitere Cryptojacking-Kampagne, die kürzlich entdeckt wurde und auf asiatische Cloud-Service-Provider (CSPs) abzielt. Diese Kampagne zeichnete sich durch ihre Anti-Forensik- und Evasion-Maßnahmen aus. Dazu gehörten Timestomping zur Manipulation von Systemzeitstempeln, die Entfernung von kryptografischen Systemrichtlinien und die Verwendung der Gerätedatei /dev/tcp zur Erstellung einer Reverse-Shell-Sitzung, erklärte Muir von Cado in einem Bericht über den Angriff.
Kryptowährungsfarm in Lagerhaus gefunden
Cryptojacker gehen manchmal sehr weit, um nicht nur Rechenleistung, sondern auch Energie- und Netzwerkressourcen aus der Unternehmensinfrastruktur zu stehlen. Letztes Jahr haben die Analysten von Darktrace ein anonymes Beispiel eines ihrer Kunden hervorgehoben, bei dem sie eine Krypto-Mining-Farm in einem Lagerhaus entdeckten, das in einer Reihe unscheinbarer Pappkartons getarnt war. Darin befand sich eine getarnte Anlage mit mehreren Grafikprozessoren, die an die Netzstromversorgung des Unternehmens angeschlossen war.
Wie kann man Cryptojacking verhindern?
Da sich Cryptojacking zu einem Multi-Vektor-Angriff entwickelt hat, der sich über Endpunkt-, Server- und Cloud-Ressourcen erstreckt, erfordert die Verhinderung von Cryptojacking eine gut abgestimmte und abgerundete Verteidigungsstrategie. Die folgenden Schritte können dabei helfen, zu verhindern, dass Cryptojacking auf Unternehmensressourcen überhand nimmt.
Setzen Sie einen starken Endpunktschutz ein:
Die Grundlage dafür ist die Verwendung von Endpunktschutz und Anti-Malware, die in der Lage sind, Kryptominer zu erkennen, sowie die Aktualisierung von Webfiltern und die Verwaltung von Browsererweiterungen, um das Risiko der Ausführung von browserbasierten Skripten zu minimieren. Unternehmen sollten sich idealerweise nach Plattformen für den Endpunktschutz umsehen, die sich auch auf Server und darüber hinaus ausdehnen lassen.
Patchen und sichern Sie Server (und alles andere).
Cryptojacker neigen dazu, nach den am einfachsten zu erntenden Früchten zu suchen – dazu gehört auch das Scannen nach öffentlich zugänglichen Servern mit älteren Sicherheitslücken. Eine grundlegende Serverhärtung, die Patches, das Abschalten ungenutzter Dienste und die Begrenzung des externen Fußabdrucks umfasst, kann das Risiko serverbasierter Angriffe erheblich minimieren.
Verwenden Sie eine Analyse von Softwarezusammensetzungen.
Tools zur Analyse der Softwarezusammensetzung (Software Composition Analysis, SCA) bieten einen besseren Einblick in die Komponenten, die in der Software verwendet werden, um Angriffe auf die Supply Chain zu verhindern, die Skripte zum Mining nutzen.
Spüren Sie Cloud-Fehlkonfigurationen auf.
Eine der wirkungsvollsten Möglichkeiten für Unternehmen, Cryptojacking in der Cloud zu stoppen, besteht darin, Cloud- und Container-Konfigurationen zu straffen. Das bedeutet, dass Cloud-Dienste gefunden werden müssen, die dem öffentlichen Internet ohne ordnungsgemäße Authentifizierung ausgesetzt sind, dass exponierte API-Server aufgespürt werden müssen und dass Anmeldedaten und andere Geheimnisse, die in Entwicklerumgebungen gespeichert und in Anwendungen fest einkodiert sind, entfernt werden müssen.
Wie erkennt man Cryptojacking?
Cryptojacking ist ein klassischer, langsamer Cyberangriff, der nur minimale Spuren hinterlässt, um eine langfristige Entdeckung zu vermeiden. Zwar haben Endpunkt-Schutzplattformen und Endpunkt-Erkennungs- und -Reaktionstechnologien bei der Warnung vor Cryptojacking-Angriffen große Fortschritte gemacht, doch sind die Übeltäter Meister im Umgehen von Hindernissen, und das Aufspüren illegaler Münzschürfer kann sich immer noch als schwierig erweisen, vor allem, wenn nur wenige Systeme kompromittiert wurden. Im Folgenden finden Sie einige Methoden, um Anzeichen für Cryptojacking zu erkennen.
Schulen Sie Ihren Helpdesk darin, nach Anzeichen für Kryptomining zu suchen.
Manchmal ist das erste Anzeichen auf den Endgeräten der Benutzer ein Anstieg der Beschwerden über eine langsame Computerleistung beim Helpdesk. Dies sollte ein Grund sein, weitere Untersuchungen durchzuführen, ebenso wie eine Überhitzung der Geräte oder eine schlechte Akkuleistung bei mobilen Geräten.
Setzen Sie eine Netzwerküberwachungslösung ein.
Netzwerküberwachungs-Tools können ein leistungsfähiges Werkzeug sein, um die Arten von Webverkehr und ausgehendem C2-Verkehr aufzuspüren, die auf Cryptojacking-Aktivitäten hindeuten, unabhängig davon, von welchem Gerät sie ausgehen.
„Wenn Sie über eine gute Egress-Filterung auf einem Server verfügen, bei der Sie auf ausgehende Verbindungsinitiierungen achten, kann dies eine gute Erkennung für [Krypto-Mining-Malware] sein“, sagt Travis Farral, Vice President und CISO bei Archaea Energy. Er warnt jedoch davor, dass die Autoren von Kryptomining-Malware ihre Malware so schreiben können, dass sie diese Erkennungsmethode umgehen.
Nutzen Sie Cloud-Überwachung und Container-Laufzeitsicherheit.
Sich entwickelnde Tools wie Cloud-Monitoring und Container-Laufzeit-Sicherheitsscans können zusätzliche Transparenz in Cloud-Umgebungen bieten, die von nicht autorisierten Kryptominern betroffen sein könnten. Cloud-Anbieter integrieren diese Art von Transparenz in ihre Dienste, manchmal als Zusatzmodule. So hat Google Cloud Anfang des Jahres sein Security Command Center um die so genannte Virtual Machine Threat Detection (VMTD) erweitert, die neben anderen Cloud-Bedrohungen auch Anzeichen von Kryptomining in der Cloud aufspürt.
Führen Sie regelmäßige „Bedrohungsjagden“ durch.
Da viele Cryptojacking-Angriffe heimlich erfolgen und nur wenige Spuren hinterlassen, müssen Unternehmen möglicherweise aktivere Maßnahmen wie die Bedrohungsjagd ergreifen, um regelmäßig nach subtilen Anzeichen einer Kompromittierung zu suchen und Untersuchungen durchzuführen.
„Endpunktsicherheits- und SOC-Teams sollten Zeit in aktive Übungen und Bedrohungsjagden investieren, anstatt darauf zu warten, dass etwas potenziell Katastrophales passiert“, sagt Vincent von LogRhythm.
Überwachen Sie Ihre Websites auf Kryptomining-Code.
Farral warnt, dass Cryptojacker immer mehr Wege finden, Javascript-Code auf Webservern zu platzieren. „Der Server selbst ist nicht das Ziel, aber jeder, der die Website selbst besucht, riskiert eine Infektion“, sagt er. Er empfiehlt, regelmäßig auf Dateiveränderungen auf dem Webserver oder Änderungen an den Seiten selbst zu achten.
Wie kann man auf einen Cryptojacking-Angriff reagieren?
Nachdem illegale Cryptomining-Aktivitäten aufgedeckt wurden, sollte die Reaktion auf einen Cryptojacking-Angriff den Standardreaktionsschritten auf Cybervorfälle folgen, die Eindämmung, Ausrottung, Wiederherstellung und Lehren daraus umfassen. Einige Tipps für die Reaktion auf einen Cryptojacking-Angriff sind:
Stoppen Sie über das Internet übermittelte Skripte.
Bei JavaScript-Angriffen innerhalb des Browsers ist die Lösung einfach, sobald Kryptomining entdeckt wird: Beenden Sie die Browser-Registerkarte, auf der das Skript ausgeführt wird. Die IT-Abteilung sollte sich die URL der Website, von der das Skript stammt, notieren und die Webfilter des Unternehmens aktualisieren, um sie zu blockieren.
Schalten Sie kompromittierte Container-Instanzen ab.
Unveränderliche Cloud-Infrastrukturen wie Container-Instanzen, die mit Coin-Minern kompromittiert sind, können ebenfalls einfach gehandhabt werden, indem infizierte Container-Instanzen heruntergefahren und neu gestartet werden. Unternehmen müssen jedoch den Ursachen auf den Grund gehen, die zur Kompromittierung der Container geführt haben.
Dies bedeutet, dass nach Anzeichen dafür gesucht werden muss, dass das Container-Dashboard und die Anmeldeinformationen kompromittiert wurden, und dass die verbundenen Cloud-Ressourcen auf Anzeichen einer Kompromittierung untersucht werden müssen. Ein wichtiger Schritt besteht darin sicherzustellen, dass das neue Container-Image, das das alte ersetzt, nicht ähnlich konfiguriert ist.
Reduzieren Sie die Berechtigungen und regenerieren Sie API-Schlüssel.
Um einen Cloud-basierten Cryptojacking-Angriff auszumerzen und sich vollständig davon zu erholen, müssen Unternehmen die Berechtigungen für die betroffenen Cloud-Ressourcen (und die mit ihnen verbundenen Ressourcen) reduzieren und API-Schlüssel neu generieren, um zu verhindern, dass Angreifer wieder in dieselbe Cloud-Umgebung eindringen können.
Lernen Sie dazu und passen Sie sich an.
Nutzen Sie die Erfahrung, um besser zu verstehen, wie es dem Angreifer gelungen ist, Ihre Systeme zu kompromittieren. Aktualisieren Sie die Schulungen für Benutzer, Helpdesk, IT und SOC-Analysten, damit diese besser in der Lage sind, Cryptojacking-Versuche zu erkennen und entsprechend zu reagieren.
*Michael Nadeau ist leitender Redakteur bei CSO Online. Er hat außerdem bereits Zeitschriften, Bücher und Wissensdatenbanken herausgegeben, die Unternehmen dabei helfen, das Beste aus ihren ERP-Systemen herauszuholen.
Be the first to comment