:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Krypto-Mining auf einen Blick Rechenleistung kapern mit Krypto-Mining
Das Jahr 2018 ist gerade erst ein paar Monate alt, und schon jetzt setzt sich der Trend der letzten Monate des Jahres 2017 weiter fort. Krypto-Mining-Malware wird rasch zum bevorzugten Modus Operandi der Angreifer. Im Dezember 2017 sandten 88 Prozent aller Remote Code Execution-Angriffe (RCE) einen Request an eine externe Quelle, um eine Krypto-Mining-Malware herunterzuladen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
RCE-Angriffe zielen darauf ab, Schwachstellen im Quellcode von Webanwendungen auszunutzen – hauptsächlich solche, die Remotecodeausführung ermöglichen –, um dann Krypto-Mining-Malware auf den betroffenen Servern herunterzuladen und auszuführen. RCE-Schwachstellen gehören zu den gefährlichsten Sicherheitslücken schlechthin, da sie Angreifern die Möglichkeit geben, Schadcode auf einem anfälligen Server auszuführen. Bei einem kürzlich durchgeführten Forschungsprojekt wurde ein extremer Anstieg der RCE-Angriffe festgestellt.
RCE-Schwachstellen und Payload-Familien
Im Folgenden geht es um RCE-Angriffe, bei denen die Payload versuchte, einen Request an eine externe Quelle zu senden. Die Methoden zum Senden dieser Requests sind unterschiedlich, je nach Betriebssystem und gewünschtem Resultat. Beispielsweise verwendeten Angreifer von Windows-Servern einen Powershell-Befehl, um eine Datei aus einer externen Quelle herunterzuladen (Abb. 1). Angreifer, die Linux-Server attackierten, nutzten zu dem gleichen Zweck Bash-Skripte und wget- oder curl-Befehle.
Die Payloads von RCE-Angriffen lassen sich in drei Kategorien einteilen:
- Krypto-Mining-Malware: Diese Payload versucht, ein Skript von einem entfernten Server herunterzuladen und lokal auf dem anfälligen Rechner auszuführen. Das Skript veranlasst den Server, nach einer Kryptowährung zu schürfen, insbesondere Monero. Auf diese Angriffsart gehen wir nachfolgend näher ein.
- DDoS-Botnet: Genau wie die Krypto-Miner-Payload versucht auch diese Payload, ein Skript herunterzuladen und auszuführen. Der Unterschied ist, dass in dieser Payload das Skript den anfälligen Server in ein DDoS-Botnet einbindet, sodass er auf Wunsch der Angreifer an DDoS-Attacken mitwirkt.
- Erkundung: Eine solche Payload wird verwendet, wenn ein Angreifer herauszufinden versucht, ob ein Server verwundbar ist oder nicht. Bei Angriffen mit Payloads dieser Art werden meist zahlreiche Requests an einen bestimmten Server gesandt, von denen jeder auf einen anderen Parameter abzielt.
Krypto-Mining auf einen Blick
Beim Krypto-Mining wird Rechenleistung aufgewandt, um komplizierte mathematische Aufgaben zu lösen, die als Proof-of-Work-Funktionen bezeichnet werden. Jedes Mal, wenn ein solches Problem gelöst wird, erhält der Miner, der es gelöst hat, eine bestimmte Anzahl von Coins, abhängig davon, welche Währung er geschürft hat. So erhalten beispielsweise Bitcoin-Miner derzeit für jedes gelöste Problem 12,5 Bitcoins (115.812,44 US-Dollar).
Diese Aufgaben alleine zu lösen, ist jedoch nicht einfach und erfordert sehr hohe Rechenleistung. Deshalb nutzen Schürfer sogenannte Mining-Pools, um ihre Chancen auf Bezahlung zu erhöhen. Mining-Pools sind Plattformen, die es Minern ermöglichen, zusammenzuarbeiten und Rechenressourcen zu teilen, um die Aufgaben zu lösen. Wenn eine Aufgabe gelöst ist, werden die Coins unter den Pool-Teilnehmern aufgeteilt, je nach der Rechenleistung, die der Einzelne beigetragen hat.
Rezept für einen Krypto-Mining-Angriff
Der folgende Angriff (Abb. 2) wurde im Post-Body eines HTTP-Requests gefunden, der eine RCE-Schwachstelle auszunützen versuchte, um einen wget-Befehl zu senden und so ein Skript herunterzuladen und auszuführen. Hier kann beobachtet werden, wie der Angreifer versucht, seine Spuren mit der Option „-q“ zu verwischen, die für „Quiet-Modus“ steht.
Der Link ist als JPEG-Bild getarnt, enthält aber in Wirklichkeit ein Bash-Skript, das den anfälligen Server mit Krypto-Mining-Malware infiziert.
Dieses heruntergeladene Skript umfasst drei Phasen:
- Hintergrundprozesse beenden
- Persistenz erreichen
- Die Malware herunterladen und ausführen
Zunächst beendet das Skript Prozesse, die auf dem Server im Hintergrund laufen (Abb. 3). Zu diesen Prozessen gehören vor allem konkurrierende Krypto-Miner, aber auch Sicherheitsmechanismen sowie CPU-intensive Prozesse.
Das Skript identifiziert konkurrierende Krypto-Miner, indem es entweder Prozesse mit bekannter Krypto-Mining-Software beendet oder Prozesse, die bestimmte IPs oder Teile von Krypto-Wallets beinhalten. Anscheinend weiß der Angreifer genau, wer seine Konkurrenten sind, da er Prozesse killt, die mit spezifischen IPs und Wallets zusammenhängen – und er mag offensichtlich keine Konkurrenz.
In der zweiten Phase (Abb. 4) löscht das Skript die aktuellen Cronjobs im System. Ein Cronjob ist ein Prozess für geplante Aufgaben unter Linux.
In der dritten und letzten Phase (Abb. 5) wird das System schließlich infiziert. Zunächst lädt das Skript eine dynamische Konfigurationsdatei herunter (Abb. 6). Bei den Angriffen, die wir beobachtet haben, stammte die Konfigurationsdatei von demselben Host, von dem auch das Skript heruntergeladen wurde.
Als Nächstes wird die Malware selbst heruntergeladen. Das Skript errechnet dann die Zahl der Kerne im Server und führt die Malware mit der Konfigurationsdatei und der Zahl der Kerne als Eingabeparameter aus.
Um die Erfolgschancen zu erhöhen, wiederholt das Skript die dritte Phase anschließend noch vier Mal und lädt dabei jedes Mal eine andere Konfigurationsdatei und ein anderes Schadprogramm herunter. Die anderen Schadprogramme führt es nur aus, wenn die vorhergehenden Versuche nicht erfolgreich waren.
Wenn das Skript erfolgreich war, wird der anfällige Server, auf dem es ausgeführt wurde, mit Malware infiziert, die Kryptowährung für den Angreifer verdient.
Die Spur des Geldes
In den heruntergeladenen Konfigurationsdateien, die wir gefunden haben, befanden sich aktive Monero-Wallets, die den Angreifern gehörten. Wir verfolgten die Wallets und die Mining-Pools und konnten auf diese Weise feststellen, wie viel Geld sich mit Krypto-Mining verdienen lässt. Abb. 7 zeigt den Gesamtbetrag, den der Angreifer bei „mineXMR.com“ verdiente – einem beliebten Mining-Pool für Monero.
Zu diesem Zeitpunkt hatte der Angreifer ca. 41 Monero verdient, was (gemäß dem aktuellen Monero/Dollar-Kurs) rund 10.000 US-Dollar entspricht.
Fazit
Die Zahl der Angreifer, die anfällige Server mit Krypto-Mining-Malware zu infizieren versuchen, steigt rasant, und die Gründe dafür sind offensichtlich. Im vergangenen Dezember beinhalteten fast 90 Prozent aller RCE-Angriffe, die einen Request an eine externe Quelle sandten, Malware für Krypto-Mining.
Eine Krypto-Mining-Malware löst bei dem infizierten Server einen Denial-of-Service aus. Wenn der größte Teil der Rechenleistung des Servers auf Krypto-Mining entfällt, ist der Server nicht mehr verfügbar. Um Webanwendungen vor Krypto-Mining-Malware zu schützen, müssen die anfänglichen Angriffe geblockt werden. Unternehmen, die betroffene Server verwenden, sollten den neuesten Patch vom Hersteller installieren, um Sicherheitslücken dieser Art zu entschärfen.
Eine Alternative zum manuellen Patchen ist virtuelles Patchen. Eine Web Application Firewall, welche virtuelles Patchen ermöglicht, stört den gewöhnlichen Workflow der Anwendungen nicht. Sie schützt die Website und erlaubt gleichzeitig den Website-Betreibern, den Patch-Prozess zeitlich besser zu gestalten.
Über die Autoren: Gilad Yehudai und Nadav Avital sind Security-Forscher bei Imperva Incapsula.
(ID:45321455)
:quality(80)/p7i.vogel.de/wcms/d2/99/d29988dd50efd129a7a1d996269f3217/0112938579.jpeg "Cyberkriminelle finden immer wieder neue Wege, um Malware auf die Systeme ihrer Opfer zu laden. Selbst bei deaktivierten Office-Makros gibt es inzwischen Hintertüren für Ransomware und Remote Access Trojaner. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/41/0a41159f205e5e248597daf12ff09489/0111390380.jpeg "Hartnäckige Angreifer, die im Open-Source-Ökosystem operieren und versuchen, Versionskontrollsysteme wie GitHub und Paketmanager wie PyPI und npm zu kompromittieren, sind eine ständige Bedrohung. (Bild: jariyawat - stock.adobe.com)")