:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Digitaler Goldrausch Neue Gefahr Cryptojacking
Als „Cryptojacking“ – eine Wortneuschöpfung aus den englischen Begriffen „Cryptocurrency“ (Kryptowährung) und „Hijacking“ (Entführung) – bezeichnet man das Kapern des Browsers eines Endanwenders mit dem Ziel, dessen Computer für das unerwünschte Schürfen digitaler Währungen zu missbrauchen. Der Angriff erfreut sich bei Cyberkriminellen neuerdings großer Beliebtheit.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Cryptojacking nimmt Endgeräte und Server - lokal wie auch in der Cloud ins Visier. Ziel ist es, ein riesiges Botnet von Geräten zu schaffen und deren CPU-Zyklen für das Crypto-Mining (das Schürfen von Kryptowährungen wie etwa Monero) zu nutzen – zu minimalen Kosten für den Angreifer. Diese Bedrohung hat seit Monaten zugenommen, parallel zu den Gewinnen am Kryptowährungsmarkt.
Cryptojacking entzieht einem Rechner Ressourcen – im Idealfall unentdeckt. Denn Rechenpower ist in der Welt des Crypto-Minings ein wertvolles Gut. Zum Beispiel hat man entdeckt, dass Coinhive – ein Website-basierter Crypto-Miner mit dem Slogan „Machen Sie Ihr Business zu Geld dank der CPU-Power Ihrer Nutzer“ – Anwenderverbindungen kapert. Ein europäisches Versorgungsunternehmen (mit kritischen Industriekontroll- und SCADA-Systemen) wurde ebenso schon von Crypto-Mining getroffen wie russische Supercomputer, die für die Simulation in der Kernwaffenkonstruktion zum Einsatz kommen. Nicht einmal die britische Regulierungsbehörde ICO (Information Commissioner’s Office) blieb verschont. Zudem nutzen einige Websites Crypto-Mining als Alternative zu Bannerwerbung und Pop-ups – als freiwillig nutzbarer Ansatz der Monetarisierung eine interessante Entwicklung.
Digitaler Goldrausch
Crypto-Mining ist rechenintensiv: Man führt dauerhaft mathematische Berechnungen durch, die den Prozessor zu 100 Prozent auslasten. Professionelle Miner müssen deshalb massiv in Spezialhardware und -infrastruktur (Hosting, Kühlung etc.) investieren, hinzu kommen die laufenden Kosten für Strom, Wartung und Personal.
Cryptojacker bauen deshalb lieber Botnets kompromittierter Maschinen auf, um deren kollektive CPU-Zyklen zu stehlen und die Endanwender mit gesunkener Performance zurückzulassen, während zugleich ihre Stromrechnung steigt – oder der Preis für die Cloud-Umgebung, der schließlich mit der Nutzung elastisch mitwächst.
Anfangs erfolgte das Bitcoin-Mining mit CPUs von Desktop-Computern. Als immer mehr Miner online gingen, wurde der Schwierigkeitsgrad der Berechnungen angepasst: Nun musste man für effektives Mining mehrere Grafikprozessoren (GPUs) betreiben. Der nächste Schritt waren Spezial-Chipsets oder ASICs, die eigens für das Bitcoin-Mining konzipiert waren – diese werden heute immer kleiner und effizienter. Um ihre Gewinnchancen zu erhöhen, bilden zahlreiche Miner sogenannte Pools, in denen sie gemäß ihrer Beiträge an Rechenressorcen oder Hash-Power entlohnt werden.
Im Fall von Bitcoin wird ein Mining mittels CPUs, GPUs oder sogar älterer ASICs nie einen ROI erzielen – die Energiekosten sind zu hoch. Von Ausnahmen abgesehen ist das Bitcoin-Mining deshalb auf größere Operationen an Orten mit niedrigen Energiekosten begrenzt, etwa China, Schweden, Island oder der US-Bundesstaat Washington.
Inzwischen sind aber auch Bitcoin-Alternativen („Altcoins“) populär, darunter Ethereum, Monero und hunderte mehr. Sie nutzen andere Protokolle und weisen einen niedrigeren Schwierigkeitsgrad auf. Zwar haben einige Altcoins spezielle Vorteile oder Funktionen, aber im Wesentlichen bieten sie nur eine lukrative Möglichkeit, vom Mining (und Cryptojacking) zu profitieren, indem man sie anschließend in Bitcoin tauscht. Monero ist der Liebling der Mining-Botnetze, da hier ein paar tausend kompromittierte Systeme hunderttausende Dollar pro Jahr schürfen können.
Digitale Parasiten
Cryptojacking zielt auf den Web-Browser. Verräterische Symptome sind Systemträgheit, hohe CPU-Auslastung und Ventilatoren, die mit höchster Drehzahl laufen. Der Nutzer wird beim Besuch von Websites befallen, bei denen der Angreifer Schwachstellen des Web-Servers ausgenutzt hat, um seine Malware aufzuspielen. Beim sogenannten „Drive by“-Cryptojacking bleibt ein verborgenes, persistentes Pop-up-Fenster bestehen, selbst nachdem der Nutzer das Browser-Fenster des Site-Besuchs wieder geschlossen hat.
Mobile Geräte sind ebenfalls anfällig. Ein Beispiel ist die Android-Variante namens ADB.Miner. Sie läuft typischerweise auf „gerooteten“ Devices und sucht mit demselben Scan-Code wie das Mirai-Botnet nach offenen, zugänglichen Geräten. Sobald die Malware ein solches Device findet, infiziert sie es und schürft damit Monero, während sie sich gleichzeitig auf weitere Geräte verbreitet. Mobile Apps wie etwa Minergate Mobile und Dutzende anderer gibt es seit 2016 – zum Download direkt im Internet.
Serverseitige Angriffe funktionieren im Prinzip genauso wie die genannten Botnetze – aber angepasst. Die Apps laufen heimlich und kontaktieren die Hosts der Mining-Pools, um neue Blocks zu erhalten und ihre Arbeit zu validieren. Die Payload kann über Spam-E-Mails hereinkommen, die Attachments wie etwa schädliche Word-Dokumente enthalten.
Ein Angriffsvektor sind mit dem Internet verbundene Server mit aktiviertem RDP, schwachen Passwörtern und fehlender Multi-Faktor-Authentifizierung (MFA). Tools wie Shodan zeigen, wo solche Server zu finden sind. Tools, die alle Ports nach einem RDP-Listener absuchen, überwinden schnell die Hürde geänderter RDP-Ports. Mittels Brute-Force-Angriff ist es dann nur eine Frage der Zeit, bis einfache Passwörter geknackt sind.
Sind die Angreifer einmal eingedrungen, richten sie Backdoor-Konten und Backup-Zugangsmethoden ein. Wie die anderen Angriffsformen, so kann auch serverseitiges Cryptojacking im Lauf der Zeit komplexer werden. So könnte ein Angreifer, der Zugriff auf die Infrastruktur erhält, zusätzliche Server provisionieren – in Cloud-Umgebungen muss man dann neue Server mit High-End-Spezifikationen und hohen Kosten erwarten.
Eine neuere Form des Cryptojacking-Angriffs ist WannaMine. Dieser nutzt Bordmittel wie etwa WMI (Windows Management Instrumentation) und verbreitet sich über EternalBlue, den von der WannaCry-Ransomware her bekannten Exploit.
Cryptojacking abwehren
Die Verteidigung gegen Cryptojacking erfordert einen holistischen Ansatz und den Aufbau einer Security-Architektur mit einem sicheren digitalen Perimeter. Der Ansatz muss auf Prävention und Erkennung ausgerichtet sein, um den Schutz von Endpunkten, Netzwerk, Servern und Clouds zu verbessern.
Ein sicheres Web Gateway schützt Browser, indem es den Zugang zu bösartigen Websites und Malware blockiert. Eine Überwachung der Server und Hypervisoren mit Anti-Malware-Tools hilft bei der Abwehr von Schadsoftware, die per Exploit ausgebracht wurde. Im Fall mobiler Endpunkte ist eine Integration der EMM-Lösung (Enterprise Mobility Management) mit einem Endpoint-Sicherheitswerkzeug erforderlich. Dies kann Exploits stoppen, bevor die Schadsoftware freigesetzt wird. Die IT profitiert hier von der Erkennung gerooteter Endgeräte per EMM. Danach sind vielerlei Aktionen möglich: eine Benachrichtigung des Admins, das Blockieren von Apps und das Löschen ausgewählter Dateien.
Der Browser der Endanwender sollte so konfiguriert sein, dass er Sites blockiert, die bekanntermaßen Malware verteilen (URL Blacklisting). Scripting und andere aktive Inhalte sollte man wo immer möglich deaktivieren. Im Unternehmen kann das Bereitstellen eines abgeriegelten Secure Browsers helfen, die Angriffsoberfläche zu verkleinern. Hier blockiert man die Mining-Skripte ebenso wie die periodischen Rückmeldungen zu den Mining-Pools, also zu den Kommandozentralen des Crypto-Minings.
Auf Server- und Cloud-Seite muss der Fokus auf minimierter Angriffsfläche und dem Schutz der Administrator-Passwörter liegen. Denn Softwarekontrollen und Whitelists lassen sich einfach umgehen, sobald der Angreifer Adminrechte hat. Komplexe Passwörter und Multi-Faktor-Authentifizierung sind fundamental, werden aber oft zugunsten einfacher Bedienung ignoriert. Um das Gefahrenpotenzial für RDP einzudämmen, empfiehlt sich ein RDP Gateway. Hier bietet zum Beispiel Citrix NetScaler Gateway einen RDP Proxy, der nicht nur MFA mitbringt, sondern auch eine Endpunktanalyse.
Ein kritischer Baustein ist die Früherkennung der typischerweise anhaltenden CPU-Lastspitzen jenseits des Normalbereichs. Das IT-Betriebsteam sollte CPU-Schwellenwerte und Analysemechanismen haben, zudem Alerts an den Administrator, sobald die CPU-Auslastung die Schwellenwerte überschreitet. Die Alerts sollten die Prozessnamen ignorieren – digitale Parasiten können sich als Systemdienst oder -prozess tarnen. Verschlagenere Angreifer regeln das Abziehen von CPU-Leistung so herunter, dass es nicht dramatisch auffällt – sie fliegen sozusagen unter dem Radar. Ziel muss es hier sein, eine Baseline zu etablieren und Abweichungen schnell zu identifizieren.
Nach einer Entdeckung lassen sich lokale Backdoor-Accounts, -Dienste und andere Änderungen rückgängig machen – eine Wiederherstellung der Server mittels eines „Golden Image“ erleichtert diesen Prozess. Besondere Wachsamkeit ist geboten, wenn Superuser-Konten kompromittiert wurden: Hier könnte der Angreifer Malware in das Golden Image eingebaut haben.
Fazit
Der Schutz vor Cryptojacking gleicht im Wesentlichen der Abwehr von Malware generell. Allerdings sucht man hier nach anderen Symptomen. Höhere Strom- und Cloud-Nutzungskosten sind eher mittelbare finanzielle Folgeerscheinungen. Man sollte also wachsam bleiben – auch wenn es keine Lösegeldforderungen oder unmittelbare Indizien für eine Kompromittierung gibt.
Über den Autor: Stefan Volmari ist Director Systems Engineering bei Citrix Systems.
(ID:45275685)
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932310/original.jpg "Cyberkriminelle erweitern ihren Aktionsradius drastisch und fügen ihrem Angriffswerkzeugkasten Malware hinzu, die auf Linux-basierte Betriebssysteme abzielt. (Alexander Limbach - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1938900/1938990/original.jpg "Unternehmen kämpfen noch immer mit den grundlegendsten Aspekten der Sicherheit von ihren genutzten Cloud-Diensten. Das Thema Cloud Security wird wohl noch lange ein Problemfeld bleiben. (stnazkul - stock.adobe.com)")