Problemfeld Kryptowährungen

Maßnahmen und Prozesse gegen Crypto-Miner

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Seit Kryptowährungen immer wertvoller werden, interessieren sich Cyberkriminelle immer mehr für das Schürfen mit eigenen Bot-Armeen.
Seit Kryptowährungen immer wertvoller werden, interessieren sich Cyberkriminelle immer mehr für das Schürfen mit eigenen Bot-Armeen. (Bild: Pixabay / CC0)

Security-Verantwortliche müssen sich beinahe täglich mit immer neuen Herausforderungen beschäftigen. Neben erwarteten Problemen, wie Hacker, Malware und Sicherheits­lücken in Produkten, sind dies aber in zunehmenden Maße, Risiken, die ganz andere, unerwartete Ursachen haben. Das beste Beispiel dafür sind aktuell digitale Währungen wie Bitcoin, Monero oder Ethereum.

Ein Schlagwort, dem man heute nicht mehr ausweichen kann und das quasi als ultimativer Lösungsansatz für viele Probleme genannt wird ist die Blockchain. Eine der Anwendungen, die für viele als Synonym für die Blockchain gilt, sind digitale Währungen, wie Ethereum, Bitcoin, Monero oder Litecoin. Diese digitalen Währungen werden durch kryptographische Berechnungen erzeugt und sind quasi als Parallelwährung zu anderen Währungen zu sehen aber auch, als Spekulationsobjekt. Vor allem letzteres macht das Thema für viele Anwender interessant, denn durch Rechenleistung kann man quasi aus dem Nichts heraus Werte generieren. Wobei dies aber letztendlich eine „Milchmädchen-Rechnung ist, denn die Generierung von digitalem Geld kostet CPU-Power, Strom und Zeit. Investiert man dann auch noch in leistungsstarke Hardware oder spezifische Miner-Einheiten, die nach Kryptogeld „schürfen“, wird dies durchaus eine nennenswerte Investition.

Zur Vermeidung dieser Investitionskosten in die Geldgräber-Ausrüstung, haben sich clevere Cyber-Kriminelle einen neuen Trick ausgedacht. Sie stehlen bei fremden Systemen Rechenzeit und lassen andere Computer für sich arbeiten. Dabei werden sogenannte Crypto-Miner verwendet. Dies sind Programme, die auf einem fremden Computersystem Kryptographie Berechnungen ausführen und diese an den Nutzer bzw. Initiators des Crypto-Miners zurückmelden. Nach einer aktuellen Information von Kaspersky Labs, nahm der Anteil an Vorfällen von Crypto-Minern in den Jahren 2016 bis 2018 von 1,9 Millionen auf 2,7 Millionen zu, ebenso wie der Anteil an festgestellten Bedrohungen der von 3 Prozent auf 4 Prozent anstieg.

Anwendungen

Mehr oder weniger ersichtlich für den Anwender, folgt diesem Muster auch die bekannte Software „Coinhive“. Dabei handelt es sich um ein JavaScript, dass ein Betreiber einer Webseite in seine Webseite einbinden kann. Dieses Skript und ähnliche Tools sind üblicherweise sehr komfortabel zu konfigurieren und kinderleicht zu bedienen, so dass jeder Webseitenbetreiber eine Implementierung durchführen kann. Coinhive gelangt dann über den Webbrowser eines Webseitenbesuchers (aka Opfer) auf dessen PC und führt dort Berechnungen aus. Dafür wird dem Webseitenbetreiber, der dieses Skript verteilt ein Geldbetrag gutgeschrieben.

Inzwischen hat sich auch ein wachsender Dunstkreis gebildet, der sich mit Anpassungen, Alternativen und Ergänzungen beschäftigt und so das Thema Crypto-Miner immer weiterverbreitet. Neben diesen mehr oder weniger bekannten Crypto-Minern gibt es eine Vielzahl weiterer, die oft unerkannt und aggressiv einen PC infiltrieren und die Rechenleistung abgreifen. Klassische Infektionswege sind hier identisch zu Computerviren Trojanern und anderer Schadsoftware.

Wie so oft, bringt die Masse den Erfolg. Ein oder zwei Rechner zu kidnappen und die CPU-Leistung zu missbrauchen lohnt den Aufwand und das Risiko nicht (§ 263a StGB Abs. 1...oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst, wird mit Freiheitsstrafe bis zu fünf Jahren...“).

Werden aber beispielsweise über ein Bot-Netzwerk 50.000 System instrumentalisiert bringt diese Rechnermenge einen wesentlich höheren Durchsatz an Berechnungen und damit einen schnelleren Umsatz bzw. Gewinn.

Neue Gefahr Cryptojacking

Digitaler Goldrausch

Neue Gefahr Cryptojacking

15.05.18 - Als „Cryptojacking“ – eine Wortneuschöpfung aus den englischen Begriffen „Cryptocurrency“ (Kryptowährung) und „Hijacking“ (Entführung) – bezeichnet man das Kapern des Browsers eines Endanwenders mit dem Ziel, dessen Computer für das unerwünschte Schürfen digitaler Währungen zu missbrauchen. Der Angriff erfreut sich bei Cyberkriminellen neuerdings großer Beliebtheit. lesen

Crypto-Miner

Cyberkriminelle sind innovativ und technisch gut ausgerüstet und nutzen jede Gelegenheit um Geld zu machen (Siehe auch: Crypto-Mining-Malware wird zur massiven Bedrohung). Daher muss der Security-Verantwortliche hier zeitnah handeln, um der missbräuchlichen Nutzung der Systeme in seinem Verantwortungsbereich gegenzusteuern. Idealerweise sollten hier mehrere Maßnahmen kombiniert werden, da eine punktuelle Aktivität angesichts der Bedrohung zu wenig Erfolg verspricht. Die drei empfehlenswerten Aktivitäten zur Bekämpfung von Crypto-Miner sind:

  • Verstärken der Maßnahmen gegen Crypto-Miner
  • Ransomware im Focus behalten
  • IT-Security-Training anpassen
Cryptojacking erkennen und stoppen

Unerwünschtes Crypto-Mining

Cryptojacking erkennen und stoppen

28.06.18 - Kaum ein Thema beschäftigt aktive Computer­anwender derzeit so stark wie die Krypto­währungen Bitcoin & Co. Gerade die enormen Kurschwankungen wecken bei vielen Menschen den Wunsch, von diesen digitalen Währungen zu profitieren. Und immer häufiger werden für das Schürfen des digitalen Goldes auch Unternehmensressourcen verwendet - ohne Erlaubnis, dafür aber mit durchaus erwähnenswerten Risiken. lesen

Maßnahmen gegen Crypto-Miner

Es ist unerheblich, ob Crypto-Miner nun nach Bitcoin, Ethereum oder Stellar schürfen, jedwede missbräuchliche Nutzung der Rechner-Ressourcen muss unterbunden werden. Wobei die Miner-Tools ggf. Malware nutzen, um sich auszubreiten aber öfter andere Wege suchen um auf einen PC zu gelangen. Per Definition selbst Crypto-Miner selbst keine klassische Malware. Denn für diese gilt, dass sie sich in irgendeiner Art verbreiten (Computervirus), den Menschen dazu benutzen (Trojaner) oder das Netzwerk als Transportmedium nutzen (Würmer). Crypto-Miner werden generell der Kategorie PUP (potentially unwanted program) oder PUA (potentially unwanted application) hinzugerechnet. Von der Definition her, eine eher harmlose Bedrohung, da sie nur „unerwünscht“ ist. Die Herausforderung bei Crypto-Minern ist, dass sie sich wie normale Software verhalten und nicht wie eine Schadsoftware.

  • Sie verschlüsseln keine Dateien
  • Sie manipulieren nicht die Registry
  • Sie stöbern nicht in andere Dateien herum oder verändern diese
  • Sie installieren keine Sub-Prozesse
  • Sie bleiben auf dem lokalen System

Crypto-Miner führen nur Berechnungen aus – ebenso wie eine Tabellenkalkulation, ein Textprogramm, eine CAD-Software oder ein Spielprogramm. Wie soll man also Crypto-Miner erkennen, wenn diese sich ebenso verhalten wie andere, normale Programme? Einen Basis-Schutz bieten die nachfolgenden Aktivitäten:

  • aktuelle Antimalware-Tools nutzen: Es gibt bekannte Miner, die sich so entdecken bzw. verhindern lassen
  • Im Browser Javascript deaktivieren: Sofern möglich, da Skriptsprachen oft essentielle Komponenten einer Webseite abbilden
  • Im Browser Anti-Crypto-Miner-Option aktivieren: Sofern verfügbar bzw. unterstützt
  • Einsatz von Software, die Werbung blockiert: Verhindert teilweise das Nachladen von Miner-Tools über die Webseite
  • Monitoring nach Prozessen mit auffallend hohem CPU-Bedarf: oder solchen Tasks die immer an 2. oder 3. Position stehen

Erweiterte Schutzmaßnahmen lassen sich durch andere Tools erreichen. Wie z.B. die Nutzung eines SIEM-Systems bei dem die entdeckten Events in Bezug zueinander gestellt werden. Ansatzpunkte sind:

  • Vermehrte Prozesse mit gleichen Charakteristika, die nicht zum Standard-Betriebssystem gehören
  • Verstärkter Datenrückfluss an einzelne IP-Adressen (Rücklieferung der ermittelten kryptographischen Werte)
  • Ständiger CPU-Verbrauch durch Programme die nie zur Ruhe kommen
  • Keine Interaktion mit dem Anwender oder mit anderen Komponenten des Systems

Möglich ist auch, dass sich intelligente Systeme, die KI nutzen oder auf Machine Learning (ML) basieren im Kampf gegen Crypto-Miner durchsetzen werden. Wobei ML eine Lernbasis voraussetzt, aber Crypto-Miner oft individuelle Lösungen sind und untereinander wenig programmtechnische Gemeinsamkeiten haben Aber ggf. bieten die Krypto-Verfahren hier einen gemeinsamen Nenner, der eine Erkennung ermöglicht. KI ist in diesem Anwendungsfall auch vielversprechender, dürfte aber in der Initialphase einiges an Ressourcen erfordern.

Wer hingegen auf bewährtes setzen will, wie beispielsweise auf Prüfsummenprogramme (aka White-Listing), kann einen Blick auf die Lösung SecuLution werfen. Hier werden nur bekannte Prozesse/Programm ausgeführt. Das starten eines Kypto-Miners sollte also nicht möglich sein. Allerdings kann eine solche Lösung nicht einfach so eingesetzt werden, wie ein Malware-Scanner. Ein Freigabeprozess für neue Software und spezifische Tools ist hier die minimale Anforderung.

Jedes dritte Unternehmen kämpft mit Erpressungs-Trojanern

Netscout-Studie

Jedes dritte Unternehmen kämpft mit Erpressungs-Trojanern

23.08.18 - Die Angst der Unternehmen, Opfer eines Erpressungs-Trojaners oder einer DDoS-Attacke zu werden, herrscht bei 64 Prozent der befragten Unternehmen vor, so eine Netscout-Studie. Im Visier der Cyberkriminellen stehen kundenzentrierte Anwendungen und Dienste sowie IT-Infrastrukturen. lesen

Ransomware nicht aus den Augen verlieren

Die Erpresser-Software, die Anwenderdaten verschlüsselt und nur gegen Lösegeld wieder freigibt bzw. entschlüsselt (oder auch nicht), ist auf dem Rückzug, da Crypto-Miner zur Monetarisierung in den Vordergrund drängen. Allerdings bedeutet dies nicht, das die Gefahr die von Ransomware ausgeht vernachlässigt werden kann.

Die Praxis zeigt, sobald sich alles scheinbar auf eine Bedrohung fokussiert, holen Cyberkriminelle wieder „alte“ Bedrohungen aus der Toolkiste (Beispielsweise Makro-Malware). Ransomware finden den Weg auf den PC des Users, als Trojaner oder als Computervirus. Auf dem PC angelangt, verschlüsselt die Ransomware beinahe alle relevanten User-Dateien, die Informationen enthalten können und einen Wert für den Anwender darstellen. Also Textdateien, Bilder, Präsentationen, Sourcecodes oder auch Mediadateien wie abspielbare Musik oder digitale Bücher.

Ein knacken der Verschlüsselung ist nur mit hohen Aufwand möglich, da die Kryptographie dahinter für gute und böse Zwecke gleichermaßen wirksam ist. Gelegentlich bieten AV-Unternehmen Master-Keys an, wenn es gelungen ist durch Implementationsfehler in der Ransomware oder andere Umstände einen Key zu erhalten, mit dem man die Verschlüsselung rückgängig machen kann. Verlassen sollte man sich aber auf solche Glücksfälle nicht!

Wie auch bei den Miner-Tools ist ein aktuelles Antivirus-Tool ein gutes Mittel die Bedrohung zu erkennen. Je nach Modus Operandi von "Intelligenter Schutzsoftware" kann eine „Next Generation-Software“ mit KI-Unterstützung auch eine Veränderung der Dateien verhindern (Verhaltensbasierte Analyse). Jedoch sollte man sich hier beim Hersteller erkundigen wie es in der Praxis aussieht - denn technisch gesehen, ist das verschlüsseln von Bilddateien etwas, was auch bei anderen Tools durchaus üblich ist. Hier könnte es also zu Fehlalarmen kommen bei einem strengen Regelwerk. Aber auch die Gefahr einer Nicht-Erkennung ist gegeben, wenn das Regelwerk zu locker konfiguriert ist.

Letztendlich muss man auch darauf achten, dass immer Daten-Sicherungen über mehrere Generationen (verschiedene Sicherungsstände) existieren, um im Worst-Case einen Restore der verschlüsselten Dateien fahren zu können und die manipulierten Datendateien mit dem lesbaren Original wiederherzustellen (Datenverlust eines Tage muss ggf. eingeplant werden). Leider sind aber gute Backup-Lösungen nicht für kleines Geld zu haben. Man darf aber annehmen, dass Unternehmen hier schon in der Vergangenheit investiert haben und ggf. sich nun nur noch Gedanken machen müssen, ob die Anzahl der unterschiedlichen Sicherungsstände hoch genug ist.

Security Awareness hilft, wo Technik an Grenzen stößt

IT-Security-Coaching

Security Awareness hilft, wo Technik an Grenzen stößt

11.07.18 - DSGVO und Malware-Angriffe sorgen dafür, dass immer mehr Unternehmen die IT-Sicherheit ernst nehmen. Das ist zwar eine erfreuliche Entwicklung für die Gesellschaft, weniger erfreulich ist allerdings, dass es gerade bei kleineren und mittleren Unternehmen noch oft am kontinuierlichen Management mangelt und eine wichtige Komponente zu kurz kommt: Security Awareness. lesen

IT-Security-Training anpassen

Niemand verlangt von Otto Normalanwender, dass er Hacker ausschaltet, Malware deaktiviert, Cyber-Kriminellen ihre eigene Ransomware unterschiebt oder grundsätzlich neue Angriffsmuster erkennt. Was man aber von Mitarbeitern verlangen kann, ist ein ordnungsgemäßes und sicheres agieren innerhalb Ihres Arbeitsgebietes. Man muss sich darauf verlassen, dass sie nicht auf einen CEO-Fraud hereinfallen oder im Bus auf dem Heimweg betriebliche Interna ausplaudern.

Kurzum, es geht um die Basisbedrohungen, die versuchen, den Endanwender zu attackieren und ihn zu einer Handlung zu nötigen die kontraproduktiv ist. Dies kann auch der Besuch einer angeblich absolut wichtigen Arbeits- Webseite sein. Entweder halboffiziell empfohlen (auf dem Weg zur Kantine), oder als Geheimtipp hinter vorgehaltener Hand weitererzählt. Denn diese enthält vertrauliche Informationen für die anstehende Reorganisation oder auch für das geplante Gehaltssystem, welches zum Jahreswechsel eingeführt wird. Irgendetwas, das den Anwender lockt… dies ist leider einfacher als man denkt. Denn Neugier ist eine starke Kraft, über die schon Johann Wolfgang von Goethe bemerkte „Wer nicht neugierig ist, erfährt nichts.“.

Die bewährte Methode ist es, Schulungen zur Sensibilisierung durchzuführen (oder durchführen zu lassen) die auf dem gegenwärtigen Bedrohungsrisiken basieren und den Anwender visuelle und praktischen Beispiele präsentieren. Diese sollen ihn in die Lage versetzen, bekannte und modifizierte Angriffe zu erkennen (das gab es doch auch im Security-Training) und ins Leere laufen zu lassen.

Die Verbreitung via manipulierter Webseite oder als Malware wird irgendwann nicht effektiv genug sein, dann kommen andere Methoden zum Einsatz. Denkbar sind hier Angriffe, die auf E-Mail, Telefon und andere Kommunikationswege basieren (Messanger, Normale Post, Social Media-Gruppen etc.) und darauf abzielen, den Angreifer einen Angriffspunkt zu verschaffen und im vorliegenden Fall, seinen Crypto-Miner bei einer größeren Menge an Nutzen zum Ablaufen zu lassen. Auch vermeintlich „superwichtige Security-Patches“, die Anwender im guten Glauben, eigenverantwortlich ausführen, sind hier denkbar. Der Phantasie der Cyber-Kriminellen ist leider keine Grenze gesetzt.

Mit einer Schulung allein ist es jedoch nicht getan, sinnvoll ist es, im Nachgang zu den Schulungsmaßnahmen einen "Stand-By-Support" anzubieten. Dieser offeriert dem Anwender einen qualifizierten Support erhält, falls er sich in einer Situation unsicher ist, ob dies ein Angriff ist oder einfach ein normales Verhalten bzw. ein Geschäftsprozess. Schulungs­maß­nah­men sind aufwendig, aber bei richtiger Planung nicht so ressourcenintensiv, wie die Aufarbeitung eines Cyber-Vorfalls!

Krypto-Mining wird der nächste Cybercrime-Hype

Mobile Cryptojacking-Malware

Krypto-Mining wird der nächste Cybercrime-Hype

27.07.18 - Hacker nutzen jede noch so kleine Sicher­heits­lücke für ihren Vorteil. Hardware-Hersteller von Computern, Smartphones, Tablets oder Cloud-Servern packen immer mehr CPU-Kerne und Arbeitsspeicher in ihre Geräte. Dadurch werden diese Systeme ein immer interessanteres Ziel für Cyberkriminelle um mittels Crypto-Mining-Botnetz große Gewinne mit Kryptowährungen zu erzielen. lesen

Resümee

Nein, es wird nicht besser werden! Es kommt immer wieder eine Bedrohung nach, die ein Risiko für die regulären IT-Prozesse darstellt. Gestern Ransomware, heute Crypto-Miner und morgen wieder etwas anderes. Man kann als Security-Verantwortlicher nur sein bestehendes Instrumentarium zur Abwehr einsetzen und bereit zu sein, im Worst-Case auch zu investieren, wenn es für die IT Sicherheit erforderlich ist. Denn ein Vorfall wiegt deutlich schwerer und kostet in der Regel mehr Geld, als alle vorausgegangenen Schutzmaßnahmen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45462458 / Malware)