:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Digitaler Goldrausch Neue Gefahr Cryptojacking
Als „Cryptojacking“ – eine Wortneuschöpfung aus den englischen Begriffen „Cryptocurrency“ (Kryptowährung) und „Hijacking“ (Entführung) – bezeichnet man das Kapern des Browsers eines Endanwenders mit dem Ziel, dessen Computer für das unerwünschte Schürfen digitaler Währungen zu missbrauchen. Der Angriff erfreut sich bei Cyberkriminellen neuerdings großer Beliebtheit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Cryptojacking nimmt Endgeräte und Server - lokal wie auch in der Cloud ins Visier. Ziel ist es, ein riesiges Botnet von Geräten zu schaffen und deren CPU-Zyklen für das Crypto-Mining (das Schürfen von Kryptowährungen wie etwa Monero) zu nutzen – zu minimalen Kosten für den Angreifer. Diese Bedrohung hat seit Monaten zugenommen, parallel zu den Gewinnen am Kryptowährungsmarkt.
Cryptojacking entzieht einem Rechner Ressourcen – im Idealfall unentdeckt. Denn Rechenpower ist in der Welt des Crypto-Minings ein wertvolles Gut. Zum Beispiel hat man entdeckt, dass Coinhive – ein Website-basierter Crypto-Miner mit dem Slogan „Machen Sie Ihr Business zu Geld dank der CPU-Power Ihrer Nutzer“ – Anwenderverbindungen kapert. Ein europäisches Versorgungsunternehmen (mit kritischen Industriekontroll- und SCADA-Systemen) wurde ebenso schon von Crypto-Mining getroffen wie russische Supercomputer, die für die Simulation in der Kernwaffenkonstruktion zum Einsatz kommen. Nicht einmal die britische Regulierungsbehörde ICO (Information Commissioner’s Office) blieb verschont. Zudem nutzen einige Websites Crypto-Mining als Alternative zu Bannerwerbung und Pop-ups – als freiwillig nutzbarer Ansatz der Monetarisierung eine interessante Entwicklung.
Digitaler Goldrausch
Crypto-Mining ist rechenintensiv: Man führt dauerhaft mathematische Berechnungen durch, die den Prozessor zu 100 Prozent auslasten. Professionelle Miner müssen deshalb massiv in Spezialhardware und -infrastruktur (Hosting, Kühlung etc.) investieren, hinzu kommen die laufenden Kosten für Strom, Wartung und Personal.
Cryptojacker bauen deshalb lieber Botnets kompromittierter Maschinen auf, um deren kollektive CPU-Zyklen zu stehlen und die Endanwender mit gesunkener Performance zurückzulassen, während zugleich ihre Stromrechnung steigt – oder der Preis für die Cloud-Umgebung, der schließlich mit der Nutzung elastisch mitwächst.
Anfangs erfolgte das Bitcoin-Mining mit CPUs von Desktop-Computern. Als immer mehr Miner online gingen, wurde der Schwierigkeitsgrad der Berechnungen angepasst: Nun musste man für effektives Mining mehrere Grafikprozessoren (GPUs) betreiben. Der nächste Schritt waren Spezial-Chipsets oder ASICs, die eigens für das Bitcoin-Mining konzipiert waren – diese werden heute immer kleiner und effizienter. Um ihre Gewinnchancen zu erhöhen, bilden zahlreiche Miner sogenannte Pools, in denen sie gemäß ihrer Beiträge an Rechenressorcen oder Hash-Power entlohnt werden.
Im Fall von Bitcoin wird ein Mining mittels CPUs, GPUs oder sogar älterer ASICs nie einen ROI erzielen – die Energiekosten sind zu hoch. Von Ausnahmen abgesehen ist das Bitcoin-Mining deshalb auf größere Operationen an Orten mit niedrigen Energiekosten begrenzt, etwa China, Schweden, Island oder der US-Bundesstaat Washington.
Inzwischen sind aber auch Bitcoin-Alternativen („Altcoins“) populär, darunter Ethereum, Monero und hunderte mehr. Sie nutzen andere Protokolle und weisen einen niedrigeren Schwierigkeitsgrad auf. Zwar haben einige Altcoins spezielle Vorteile oder Funktionen, aber im Wesentlichen bieten sie nur eine lukrative Möglichkeit, vom Mining (und Cryptojacking) zu profitieren, indem man sie anschließend in Bitcoin tauscht. Monero ist der Liebling der Mining-Botnetze, da hier ein paar tausend kompromittierte Systeme hunderttausende Dollar pro Jahr schürfen können.
Digitale Parasiten
Cryptojacking zielt auf den Web-Browser. Verräterische Symptome sind Systemträgheit, hohe CPU-Auslastung und Ventilatoren, die mit höchster Drehzahl laufen. Der Nutzer wird beim Besuch von Websites befallen, bei denen der Angreifer Schwachstellen des Web-Servers ausgenutzt hat, um seine Malware aufzuspielen. Beim sogenannten „Drive by“-Cryptojacking bleibt ein verborgenes, persistentes Pop-up-Fenster bestehen, selbst nachdem der Nutzer das Browser-Fenster des Site-Besuchs wieder geschlossen hat.
Mobile Geräte sind ebenfalls anfällig. Ein Beispiel ist die Android-Variante namens ADB.Miner. Sie läuft typischerweise auf „gerooteten“ Devices und sucht mit demselben Scan-Code wie das Mirai-Botnet nach offenen, zugänglichen Geräten. Sobald die Malware ein solches Device findet, infiziert sie es und schürft damit Monero, während sie sich gleichzeitig auf weitere Geräte verbreitet. Mobile Apps wie etwa Minergate Mobile und Dutzende anderer gibt es seit 2016 – zum Download direkt im Internet.
Serverseitige Angriffe funktionieren im Prinzip genauso wie die genannten Botnetze – aber angepasst. Die Apps laufen heimlich und kontaktieren die Hosts der Mining-Pools, um neue Blocks zu erhalten und ihre Arbeit zu validieren. Die Payload kann über Spam-E-Mails hereinkommen, die Attachments wie etwa schädliche Word-Dokumente enthalten.
Ein Angriffsvektor sind mit dem Internet verbundene Server mit aktiviertem RDP, schwachen Passwörtern und fehlender Multi-Faktor-Authentifizierung (MFA). Tools wie Shodan zeigen, wo solche Server zu finden sind. Tools, die alle Ports nach einem RDP-Listener absuchen, überwinden schnell die Hürde geänderter RDP-Ports. Mittels Brute-Force-Angriff ist es dann nur eine Frage der Zeit, bis einfache Passwörter geknackt sind.
Sind die Angreifer einmal eingedrungen, richten sie Backdoor-Konten und Backup-Zugangsmethoden ein. Wie die anderen Angriffsformen, so kann auch serverseitiges Cryptojacking im Lauf der Zeit komplexer werden. So könnte ein Angreifer, der Zugriff auf die Infrastruktur erhält, zusätzliche Server provisionieren – in Cloud-Umgebungen muss man dann neue Server mit High-End-Spezifikationen und hohen Kosten erwarten.
Eine neuere Form des Cryptojacking-Angriffs ist WannaMine. Dieser nutzt Bordmittel wie etwa WMI (Windows Management Instrumentation) und verbreitet sich über EternalBlue, den von der WannaCry-Ransomware her bekannten Exploit.
Cryptojacking abwehren
Die Verteidigung gegen Cryptojacking erfordert einen holistischen Ansatz und den Aufbau einer Security-Architektur mit einem sicheren digitalen Perimeter. Der Ansatz muss auf Prävention und Erkennung ausgerichtet sein, um den Schutz von Endpunkten, Netzwerk, Servern und Clouds zu verbessern.
Ein sicheres Web Gateway schützt Browser, indem es den Zugang zu bösartigen Websites und Malware blockiert. Eine Überwachung der Server und Hypervisoren mit Anti-Malware-Tools hilft bei der Abwehr von Schadsoftware, die per Exploit ausgebracht wurde. Im Fall mobiler Endpunkte ist eine Integration der EMM-Lösung (Enterprise Mobility Management) mit einem Endpoint-Sicherheitswerkzeug erforderlich. Dies kann Exploits stoppen, bevor die Schadsoftware freigesetzt wird. Die IT profitiert hier von der Erkennung gerooteter Endgeräte per EMM. Danach sind vielerlei Aktionen möglich: eine Benachrichtigung des Admins, das Blockieren von Apps und das Löschen ausgewählter Dateien.
Der Browser der Endanwender sollte so konfiguriert sein, dass er Sites blockiert, die bekanntermaßen Malware verteilen (URL Blacklisting). Scripting und andere aktive Inhalte sollte man wo immer möglich deaktivieren. Im Unternehmen kann das Bereitstellen eines abgeriegelten Secure Browsers helfen, die Angriffsoberfläche zu verkleinern. Hier blockiert man die Mining-Skripte ebenso wie die periodischen Rückmeldungen zu den Mining-Pools, also zu den Kommandozentralen des Crypto-Minings.
Auf Server- und Cloud-Seite muss der Fokus auf minimierter Angriffsfläche und dem Schutz der Administrator-Passwörter liegen. Denn Softwarekontrollen und Whitelists lassen sich einfach umgehen, sobald der Angreifer Adminrechte hat. Komplexe Passwörter und Multi-Faktor-Authentifizierung sind fundamental, werden aber oft zugunsten einfacher Bedienung ignoriert. Um das Gefahrenpotenzial für RDP einzudämmen, empfiehlt sich ein RDP Gateway. Hier bietet zum Beispiel Citrix NetScaler Gateway einen RDP Proxy, der nicht nur MFA mitbringt, sondern auch eine Endpunktanalyse.
Ein kritischer Baustein ist die Früherkennung der typischerweise anhaltenden CPU-Lastspitzen jenseits des Normalbereichs. Das IT-Betriebsteam sollte CPU-Schwellenwerte und Analysemechanismen haben, zudem Alerts an den Administrator, sobald die CPU-Auslastung die Schwellenwerte überschreitet. Die Alerts sollten die Prozessnamen ignorieren – digitale Parasiten können sich als Systemdienst oder -prozess tarnen. Verschlagenere Angreifer regeln das Abziehen von CPU-Leistung so herunter, dass es nicht dramatisch auffällt – sie fliegen sozusagen unter dem Radar. Ziel muss es hier sein, eine Baseline zu etablieren und Abweichungen schnell zu identifizieren.
Nach einer Entdeckung lassen sich lokale Backdoor-Accounts, -Dienste und andere Änderungen rückgängig machen – eine Wiederherstellung der Server mittels eines „Golden Image“ erleichtert diesen Prozess. Besondere Wachsamkeit ist geboten, wenn Superuser-Konten kompromittiert wurden: Hier könnte der Angreifer Malware in das Golden Image eingebaut haben.
Fazit
Der Schutz vor Cryptojacking gleicht im Wesentlichen der Abwehr von Malware generell. Allerdings sucht man hier nach anderen Symptomen. Höhere Strom- und Cloud-Nutzungskosten sind eher mittelbare finanzielle Folgeerscheinungen. Man sollte also wachsam bleiben – auch wenn es keine Lösegeldforderungen oder unmittelbare Indizien für eine Kompromittierung gibt.
Über den Autor: Stefan Volmari ist Director Systems Engineering bei Citrix Systems.
(ID:45275685)
:quality(80)/p7i.vogel.de/wcms/cf/c4/cfc404df37b9779993d7280eba4987b3/0113233185.jpeg "Durch Verständnis für die aktuell gefährlichsten Malware-Bedrohungen können Unternehmen sich besser schützen und Geschäftsunterbrechungen oder Datenverluste vermeiden. (Bild: Joerg Habermeier - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/8b/d78ba399e70fa0fb998b0a66f20c50e1/0112790293.jpeg "Ein Watering-Hole-Angriff umfasst eine Kette von Ereignissen, um Zugriff auf das System eines Opfers zu erhalten. (Bild: giamplume - stock.adobe.com)")