:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Unerwünschtes Crypto-Mining Cryptojacking erkennen und stoppen
Kaum ein Thema beschäftigt aktive Computeranwender derzeit so stark wie die Kryptowährungen Bitcoin & Co. Gerade die enormen Kurschwankungen wecken bei vielen Menschen den Wunsch, von diesen digitalen Währungen zu profitieren. Und immer häufiger werden für das Schürfen des digitalen Goldes auch Unternehmensressourcen verwendet - ohne Erlaubnis, dafür aber mit durchaus erwähnenswerten Risiken.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Kryptowährungen samt der Blockchain-Technologie werden uns in den nächsten Jahren nachhaltig beschäftigen. Zwar weisen Kritiker auf die negativen Verwendungszwecke wie Ransomware, den Handel mit illegalen Gütern oder die Geldwäsche hin. Aber es gibt auch viele positive Anwendungen von Kryptowährungen, denn sie bereiten den Weg für eine neue Ära des globalen Handels ohne die Einschränkungen durch zentrale Regulierungsstellen.
Aktuell suchen viele Anwender nach Möglichkeiten, vorhandene Hardware für das Mining zu nutzen. Normalerweise ist dieses Schürfen jedoch langwierig, nicht profitabel und birgt das Risiko, dass die Hardware Schaden nimmt. Das ruft die Anbieter von Tools auf den Plan, die den Einstieg in das Mining erleichtern sollen. Beispiele sind CCminer oder RapidMiner.
:quality(80)/images.vogel.de/vogelonline/bdb/1413900/1413926/original.jpg "Ein CCminer auf einem Windows System.")
:quality(80)/images.vogel.de/vogelonline/bdb/1413900/1413927/original.jpg "Port 3333 ist blockiert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1413900/1413928/original.jpg "Website ermöglicht Mining.")
:quality(80)/images.vogel.de/vogelonline/bdb/1413900/1413929/original.jpg "Eingebundenes JavaScript ermöglicht passives Crypto-Mining.")
Keine Frage, es ist völlig legitim, eigene Hardware zu benutzen, um Kryptowährungen zu schürfen. Viele Anwender versuchen jedoch, Unternehmensressourcen einzusetzen, um ihr Bergbauimperium auszubauen, was diverse Risiken bergen kann. Glücklicherweise sind diese Aktivitäten leicht zu erkennen und zu blockieren. So wird ein Großteil der Mining-Anwendungen von Antiviren-Lösungen als schädlich eingestuft. Selbst wenn Mining-Anwendungen nicht blockiert werden, relativiert sich die Gefahr. Denn für das Schürfen sind Mining-Pools notwendig, die normalerweise exotische Ports wie 3333 nutzen, die in den meisten Organisationen blockiert sind.
Passive Ausführung von Anwendungen für das Crypto-Mining
Ganz so einfach ist die Risikovermeidung im Firmennetzwerk allerdings nicht. Denn es gibt Möglichkeiten, Crypto-Mining-Anwendungen so auszuführen, dass sie unbemerkt bleiben. Verschiedene Anbieter wie Coinhive, CoinImp oder Coinpot erlauben das Mining ganz einfach über den Besuch einer Website.
Diese Services versprechen keine hohe Rendite, und ein Teil des Mining-Ergebnisses geht an den übergeordneten Bereitsteller des Skripts. Andererseits bieten sie eine schnelle und einfache Möglichkeit, Kryptowährung zu schürfen, ohne dass Software auf dem ausführenden System installiert werden muss. Besonders verlockend bei diesen Services ist es also, eine große Anzahl von Systemen parallel für den eigenen Gewinn einzusetzen.
Platzhirsch bei den Web-Angeboten für das Crypto-Mining ist Coinhive. Dieser Service ist über ein schnelles und einfaches JavaScript realisiert, das sich auch in bestehende Websites und Werbeschaltungen einbinden lässt, sodass der Miner im Laufe der Zeit durchaus davon profitieren kann. Grundsätzlich ist es zwar möglich, Website-Besucher darüber zu informieren, dass dies geschieht, häufig werden die Services aber auch ohne Hinweis passiv im Hintergrund ausgeführt, um die Gewinne zu maximieren. Diese Methode der passiv laufenden Crypto-Mining-Anwendungen wird als Cryptojacking bezeichnet.
Solche Hintergrundaktivitäten beeinflussen die Energiekosten und können die Funktionalität der Hardware aufgrund einer hohen CPU-Last deutlich einschränken. Allerdings ist eine Erkennung dieser Aktivitäten recht einfach. So übernehmen es Browser-Add-ons wie uBlock Origin, standardmäßig einen Großteil der Crypto-Miner zu blockieren. Auch verursachen Mining-Skripts, die im Browser gestartet werden, Auslastungs-Peaks. Mit Netzwerkmonitoren wie dem LogRhythm NetMon ist es daher einfach, Domain-Regeln und ein entsprechendes Monitoring einzusetzen, um zu sehen, wer Crypto-Mining-Websites aufruft.
Einsatzszenario: Cryptojacking entdecken
Prinzipiell sind wir bei LogRhythm davon überzeugt, dass die Ausführung von Crypto-Minern auf einer Website weniger gefährlich ist als die Einblendung von Werbung. Denn immer häufiger werden digitale Anzeigen dazu genutzt, Malware zu verbreiten. Daher blockierte LogRhythm lange keine bekannten Miner-Sites - bis sie zum Problem wurden.
Und das ist passiert: Es wurde festgestellt, dass einige Systeme ständig Traffic zu Coinhive schickten. Normalerweise ist dies kein Grund zur Beunruhigung. In diesem Fall handelte es sich allerdings um eine konsistente, rund um die Uhr stattfindende Mining-Aktivität über einige Endbenutzersysteme, einen Entwicklungsserver und ein privates System, das im Gastnetzwerk registriert war.
Zusätzlich zu den Warnungen, die durch das SIEM generiert wurden, als der Traffic zu Coinhive zunahm, wurden von betroffenen Anwendern Tickets an den IT-Support eingereicht, da ihre Systeme deutliche Leistungseinbußen zeigten und die Kühlventilatoren der Computer ständig arbeiten. Eine Untersuchung der Hosts mit Carbon Black Response ergab, dass der Internet Explorer als Hintergrundprozess ausgeführt wurde.
Daraufhin wurde die Base64-codierte PowerShell decodiert und festgestellt, dass diese den Internet Explorer im Headless-Modus startete. Der Code wurde wahrscheinlich aus dem Beispiel CrypoCureenityPowerShell von Rvrsh3ll entnommen und komprimiert.
Den Schuldigen identifizieren
Während der Untersuchung wurden die Alarme zur codierten PowerShell von zusätzlichen Systemen gesendet. In allen Fällen wurde derselbe Mining-Schlüssel verwendet, und zwar vom selben Benutzer. Einzige Ausnahme waren Endbenutzer-Laptops.
Die Kontrolle über LogRhythm CloudAI ergab, dass für den Anwender, der hinter diesen Aktivitäten stand, über den gesamten relevanten Zeitraum deutliche Abweichungen vom Normverhalten im Netzwerk verzeichnet wurden.
Entsprechend wurden seine Authentifizierungsaktivitäten überprüft und einige Entwicklungsserver eruiert, auf denen PsExec und Remote Desktop zum Starten des PowerShell-Skripts auf anderen Hosts verwendet wurde, sodass der Angreifer Zugang zum Entwicklungs-VLAN hatte. Bei den Laptops wurden die Kameraaufzeichnungen und Endpunkt-Logs für den Zeitraum überprüft, in dem die Skripts erkannt wurden. Es wurde dadurch festgestellt, dass der Angreifer ein Human-Interface-Gerät (HID) via USB eingesetzt hatte, um das Skript auszuführen, wenn die Mitarbeiter zwar ihren Arbeitsplatz verlassen, ihre Systeme aber nicht gesperrt hatten.
Alles in allem handelte es sich um ein vergleichsweise einfaches, durch einen Insider verursachtes Bedrohungsszenario, das leicht erkenn- und eliminierbar war, bevor dem Unternehmen größerer Schaden entstand. Allerdings zeigt dieses Beispiel auch, dass exakte Analysen des Verhaltens von Nutzern sowie Systemen (User Entity and Behavior Analytics; UBA) über das gesamte Unternehmensnetz hinweg notwendig sind, um potenzielle Bedrohungen, die in vielen Formen und Größen auftreten können, zeitnah zu erkennen.
Ein Tipp: Zur Erkennung und Blockierung von Mining-Aktivitäten empfehlen sich die von ZeroDot1 entwickelten CoinBlockerLists. Diese lassen sich in das SIEM und den Network Monitor integrieren, um die Transparenz im Netzwerk zu erhöhen.
Über den Autor: Ross Brewer ist Vice President und Managing Director EMEA bei LogRhythm.
(ID:45360055)
:quality(80)/p7i.vogel.de/wcms/73/ee/73ee02c5393a143bee940c27e479712f/0110646639.jpeg "Mirai ist eine Linux-Schadsoftware zum Aufbau von Bot-Netzen bestehend aus IoT-Geräten. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")