Digitaler Goldrausch

Neue Gefahr Cryptojacking

| Autor / Redakteur: Stefan Volmari / Peter Schmitz

Cryptojacking entzieht einem infizierten Rechner Ressourcen, denn Rechenpower ist in der Welt des Crypto-Minings ein extrem wertvolles Gut.
Cryptojacking entzieht einem infizierten Rechner Ressourcen, denn Rechenpower ist in der Welt des Crypto-Minings ein extrem wertvolles Gut. (Bild: Pixabay / CC0)

Als „Cryptojacking“ – eine Wortneuschöpfung aus den englischen Begriffen „Cryptocurrency“ (Kryptowährung) und „Hijacking“ (Entführung) – bezeichnet man das Kapern des Browsers eines Endanwenders mit dem Ziel, dessen Computer für das unerwünschte Schürfen digitaler Währungen zu missbrauchen. Der Angriff erfreut sich bei Cyberkriminellen neuerdings großer Beliebtheit.

Cryptojacking nimmt Endgeräte und Server - lokal wie auch in der Cloud ins Visier. Ziel ist es, ein riesiges Botnet von Geräten zu schaffen und deren CPU-Zyklen für das Crypto-Mining (das Schürfen von Kryptowährungen wie etwa Monero) zu nutzen – zu minimalen Kosten für den Angreifer. Diese Bedrohung hat seit Monaten zugenommen, parallel zu den Gewinnen am Kryptowährungsmarkt.

Cryptojacking entzieht einem Rechner Ressourcen – im Idealfall unentdeckt. Denn Rechenpower ist in der Welt des Crypto-Minings ein wertvolles Gut. Zum Beispiel hat man entdeckt, dass Coinhive – ein Website-basierter Crypto-Miner mit dem Slogan „Machen Sie Ihr Business zu Geld dank der CPU-Power Ihrer Nutzer“ – Anwenderverbindungen kapert. Ein europäisches Versorgungsunternehmen (mit kritischen Industriekontroll- und SCADA-Systemen) wurde ebenso schon von Crypto-Mining getroffen wie russische Supercomputer, die für die Simulation in der Kernwaffenkonstruktion zum Einsatz kommen. Nicht einmal die britische Regulierungsbehörde ICO (Information Commissioner’s Office) blieb verschont. Zudem nutzen einige Websites Crypto-Mining als Alternative zu Bannerwerbung und Pop-ups – als freiwillig nutzbarer Ansatz der Monetarisierung eine interessante Entwicklung.

Digitaler Goldrausch

Crypto-Mining ist rechenintensiv: Man führt dauerhaft mathematische Berechnungen durch, die den Prozessor zu 100 Prozent auslasten. Professionelle Miner müssen deshalb massiv in Spezialhardware und -infrastruktur (Hosting, Kühlung etc.) investieren, hinzu kommen die laufenden Kosten für Strom, Wartung und Personal.

Cryptojacker bauen deshalb lieber Botnets kompromittierter Maschinen auf, um deren kollektive CPU-Zyklen zu stehlen und die Endanwender mit gesunkener Performance zurückzulassen, während zugleich ihre Stromrechnung steigt – oder der Preis für die Cloud-Umgebung, der schließlich mit der Nutzung elastisch mitwächst.

Anfangs erfolgte das Bitcoin-Mining mit CPUs von Desktop-Computern. Als immer mehr Miner online gingen, wurde der Schwierigkeitsgrad der Berechnungen angepasst: Nun musste man für effektives Mining mehrere Grafikprozessoren (GPUs) betreiben. Der nächste Schritt waren Spezial-Chipsets oder ASICs, die eigens für das Bitcoin-Mining konzipiert waren – diese werden heute immer kleiner und effizienter. Um ihre Gewinnchancen zu erhöhen, bilden zahlreiche Miner sogenannte Pools, in denen sie gemäß ihrer Beiträge an Rechenressorcen oder Hash-Power entlohnt werden.

Im Fall von Bitcoin wird ein Mining mittels CPUs, GPUs oder sogar älterer ASICs nie einen ROI erzielen – die Energiekosten sind zu hoch. Von Ausnahmen abgesehen ist das Bitcoin-Mining deshalb auf größere Operationen an Orten mit niedrigen Energiekosten begrenzt, etwa China, Schweden, Island oder der US-Bundesstaat Washington.

Inzwischen sind aber auch Bitcoin-Alternativen („Altcoins“) populär, darunter Ethereum, Monero und hunderte mehr. Sie nutzen andere Protokolle und weisen einen niedrigeren Schwierigkeitsgrad auf. Zwar haben einige Altcoins spezielle Vorteile oder Funktionen, aber im Wesentlichen bieten sie nur eine lukrative Möglichkeit, vom Mining (und Cryptojacking) zu profitieren, indem man sie anschließend in Bitcoin tauscht. Monero ist der Liebling der Mining-Botnetze, da hier ein paar tausend kompromittierte Systeme hunderttausende Dollar pro Jahr schürfen können.

Digitale Parasiten

Cryptojacking zielt auf den Web-Browser. Verräterische Symptome sind Systemträgheit, hohe CPU-Auslastung und Ventilatoren, die mit höchster Drehzahl laufen. Der Nutzer wird beim Besuch von Websites befallen, bei denen der Angreifer Schwachstellen des Web-Servers ausgenutzt hat, um seine Malware aufzuspielen. Beim sogenannten „Drive by“-Cryptojacking bleibt ein verborgenes, persistentes Pop-up-Fenster bestehen, selbst nachdem der Nutzer das Browser-Fenster des Site-Besuchs wieder geschlossen hat.

Mobile Geräte sind ebenfalls anfällig. Ein Beispiel ist die Android-Variante namens ADB.Miner. Sie läuft typischerweise auf „gerooteten“ Devices und sucht mit demselben Scan-Code wie das Mirai-Botnet nach offenen, zugänglichen Geräten. Sobald die Malware ein solches Device findet, infiziert sie es und schürft damit Monero, während sie sich gleichzeitig auf weitere Geräte verbreitet. Mobile Apps wie etwa Minergate Mobile und Dutzende anderer gibt es seit 2016 – zum Download direkt im Internet.

Serverseitige Angriffe funktionieren im Prinzip genauso wie die genannten Botnetze – aber angepasst. Die Apps laufen heimlich und kontaktieren die Hosts der Mining-Pools, um neue Blocks zu erhalten und ihre Arbeit zu validieren. Die Payload kann über Spam-E-Mails hereinkommen, die Attachments wie etwa schädliche Word-Dokumente enthalten.

Ein Angriffsvektor sind mit dem Internet verbundene Server mit aktiviertem RDP, schwachen Passwörtern und fehlender Multi-Faktor-Authentifizierung (MFA). Tools wie Shodan zeigen, wo solche Server zu finden sind. Tools, die alle Ports nach einem RDP-Listener absuchen, überwinden schnell die Hürde geänderter RDP-Ports. Mittels Brute-Force-Angriff ist es dann nur eine Frage der Zeit, bis einfache Passwörter geknackt sind.

Sind die Angreifer einmal eingedrungen, richten sie Backdoor-Konten und Backup-Zugangsmethoden ein. Wie die anderen Angriffsformen, so kann auch serverseitiges Cryptojacking im Lauf der Zeit komplexer werden. So könnte ein Angreifer, der Zugriff auf die Infrastruktur erhält, zusätzliche Server provisionieren – in Cloud-Umgebungen muss man dann neue Server mit High-End-Spezifikationen und hohen Kosten erwarten.

Eine neuere Form des Cryptojacking-Angriffs ist WannaMine. Dieser nutzt Bordmittel wie etwa WMI (Windows Management Instrumentation) und verbreitet sich über EternalBlue, den von der WannaCry-Ransomware her bekannten Exploit.

Cryptojacking abwehren

Die Verteidigung gegen Cryptojacking erfordert einen holistischen Ansatz und den Aufbau einer Security-Architektur mit einem sicheren digitalen Perimeter. Der Ansatz muss auf Prävention und Erkennung ausgerichtet sein, um den Schutz von Endpunkten, Netzwerk, Servern und Clouds zu verbessern.

Ein sicheres Web Gateway schützt Browser, indem es den Zugang zu bösartigen Websites und Malware blockiert. Eine Überwachung der Server und Hypervisoren mit Anti-Malware-Tools hilft bei der Abwehr von Schadsoftware, die per Exploit ausgebracht wurde. Im Fall mobiler Endpunkte ist eine Integration der EMM-Lösung (Enterprise Mobility Management) mit einem Endpoint-Sicherheitswerkzeug erforderlich. Dies kann Exploits stoppen, bevor die Schadsoftware freigesetzt wird. Die IT profitiert hier von der Erkennung gerooteter Endgeräte per EMM. Danach sind vielerlei Aktionen möglich: eine Benachrichtigung des Admins, das Blockieren von Apps und das Löschen ausgewählter Dateien.

Der Browser der Endanwender sollte so konfiguriert sein, dass er Sites blockiert, die bekanntermaßen Malware verteilen (URL Blacklisting). Scripting und andere aktive Inhalte sollte man wo immer möglich deaktivieren. Im Unternehmen kann das Bereitstellen eines abgeriegelten Secure Browsers helfen, die Angriffsoberfläche zu verkleinern. Hier blockiert man die Mining-Skripte ebenso wie die periodischen Rückmeldungen zu den Mining-Pools, also zu den Kommandozentralen des Crypto-Minings.

Auf Server- und Cloud-Seite muss der Fokus auf minimierter Angriffsfläche und dem Schutz der Administrator-Passwörter liegen. Denn Softwarekontrollen und Whitelists lassen sich einfach umgehen, sobald der Angreifer Adminrechte hat. Komplexe Passwörter und Multi-Faktor-Authentifizierung sind fundamental, werden aber oft zugunsten einfacher Bedienung ignoriert. Um das Gefahrenpotenzial für RDP einzudämmen, empfiehlt sich ein RDP Gateway. Hier bietet zum Beispiel Citrix NetScaler Gateway einen RDP Proxy, der nicht nur MFA mitbringt, sondern auch eine Endpunktanalyse.

Ein kritischer Baustein ist die Früherkennung der typischerweise anhaltenden CPU-Lastspitzen jenseits des Normalbereichs. Das IT-Betriebsteam sollte CPU-Schwellenwerte und Analysemechanismen haben, zudem Alerts an den Administrator, sobald die CPU-Auslastung die Schwellenwerte überschreitet. Die Alerts sollten die Prozessnamen ignorieren – digitale Parasiten können sich als Systemdienst oder -prozess tarnen. Verschlagenere Angreifer regeln das Abziehen von CPU-Leistung so herunter, dass es nicht dramatisch auffällt – sie fliegen sozusagen unter dem Radar. Ziel muss es hier sein, eine Baseline zu etablieren und Abweichungen schnell zu identifizieren.

Nach einer Entdeckung lassen sich lokale Backdoor-Accounts, -Dienste und andere Änderungen rückgängig machen – eine Wiederherstellung der Server mittels eines „Golden Image“ erleichtert diesen Prozess. Besondere Wachsamkeit ist geboten, wenn Superuser-Konten kompromittiert wurden: Hier könnte der Angreifer Malware in das Golden Image eingebaut haben.

Fazit

Der Schutz vor Cryptojacking gleicht im Wesentlichen der Abwehr von Malware generell. Allerdings sucht man hier nach anderen Symptomen. Höhere Strom- und Cloud-Nutzungskosten sind eher mittelbare finanzielle Folgeerscheinungen. Man sollte also wachsam bleiben – auch wenn es keine Lösegeldforderungen oder unmittelbare Indizien für eine Kompromittierung gibt.

Über den Autor: Stefan Volmari ist Director Systems Engineering bei Citrix Systems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45275685 / Malware)