Bitcoin-Nodes und Projekt Heisenberg

Verdächtige Aktivitäten im Bitcoin-Netzwerk

| Autor / Redakteur: Derek Abdine, Jon Hart / Peter Schmitz

Sicherheitsforscher entdeckten 900 verdächtige Nodes im Bitcoin-Network, während diese versuchten mit einem Honeypot-Netwzerk zu kommunizieren.
Sicherheitsforscher entdeckten 900 verdächtige Nodes im Bitcoin-Network, während diese versuchten mit einem Honeypot-Netwzerk zu kommunizieren. (Bild: Pixabay / CC0)

Immer mehr Produkte und Anwendungen nutzen Blockchain-basierte Technologien, der Handel mit Kryptowährungen boomt. Ihre Beliebtheit macht diese Technologien auch attraktiv für Hacker. Ein neuer Report von Rapid7 hat jetzt verdächtige Aktivitäten im Zusammenhang mit Bitcoin-Nodes im Internet untersucht.

Die Sicherheitsforscher kombinierten Daten aus ihrem weltweiten Honeypot-Netzwerk, Projekt Heisenberg, mit Informationen aus gezielten Internet-Scans sowie dem Bitnodes-Projekt von Entwickler Addy Yeow. Seit Anfang August 2017 beobachtete das Forscherteam täglich bis zu 15.000 Internetknoten im Bitcoin-Peer-to-Peer-Netzwerk; insgesamt sammelte das Team Daten von 144.000 verschiedenen Nodes. Dominiert wurde das per Bitnodes kontinuierlich beobachtete Netzwerk dabei von über 13.100 Nodes in Deutschland, gefolgt von China mit 12.170 und den USA mit 10.435 Knoten.

Da die verwendeten Honeypots nicht öffentlich bekannt sind, ist jede Interaktion eines Internetknotens mit einem Heisenberg-Honeypot per se fragwürdig. Im Zeitraum von August 2017 bis März 2018 zählten die Forscher solcher verdächtigen Interaktionen von über 900 verschiedenen Nodes – davon 132 in Deutschland, 178 in den USA und 154 in China. Bei diesen handelte es sich zum Beispiel um Portscans mit Tools wie Nmap, aber auch um wiederholte Versuche aus China, die Microsoft Windows-Schwachstelle MS17-010 auszunutzen. Und fast jeder zehnte russische Node im Bitcoin-Netzwerk versuchte mit den Honeypots zu kommunizieren – die Forscher registrierten fast 380 Millionen Verbindungsversuche aus Russland, weit mehr als aus jedem anderen Land.

Obwohl die Zahl der verdächtigen Nodes insgesamt relativ niedrig ist, fanden die Forscher heraus, dass das Bitcoin-Netzwerk an einem typischen Tag dreimal so viel schädliches Verhalten aufweist wie der Rest des Internets und an schlechten Tagen sogar zehnmal so viel. Das übliche “Hintergrundrauschen” von bösartigen Aktivitäten im gesamten IPv4-Internet stammt von rund 0.2 Prozent der verbundenen Rechner, während sich im Bitcoin-Netz an manchen Tagen bis zu 2 Prozent der Nodes seltsam verhalten.

Warum die 900 verdächtigen Nodes im Bitcoin-Network mit den Heisenberg-Honeypots kommunizieren wollten, darüber können die Sicherheitsforscher nur spekulieren. Einige der registrierten Aktivitäten zielten auf Ports und Protokolle wie Secure Shell (SSH), Remote Desktop Protocol (RDP) oder Virtual Network Computing (VNC), vermutlich auf der Suche nach voreingestellten oder leicht erratbaren Anmeldedaten. Solche Aktivitäten lassen sich auch im übrigen Internet häufig beobachten. Daneben beobachteten die Forscher auch Server Message Block (SMB)-Verbindungsversuche, wahrscheinlich mit dem Ziel, bekannten Exploit-Code auszuführen.

Verdächtige Aktivitäten von Bitcoin-Nodes

  • Server Message Block SMB (445/TCP) ist seit Jahren ein beliebtes Ziel, besonders seit der Veröffentlichung des Microsoft-Sicherheitsbulletins MS17-010 und zuverlässiger Exploits. Die Forscher waren nicht überrascht, eine hohe Zahl von Verbindungsversuchen zu diesem Service auch aus dem Bitcoin-Netzwerk zu beobachten. Insgesamt zählten sie mehr als 3,8 Millionen Verbindungsversuche und daraus resultierend fast 3 Millionen Versuche, MS17-010 auszunutzen. Interessanterweise stammte dieser Traffic von nur 17 Quellen, die 13 verschiedene Exploit-Varianten ausprobierten. Die Hälfte der angreifenden Hosts kam aus China, gefolgt von Russland.
  • Der UDP-Port 30303 wird am häufigsten für das Erkennungsprotokoll einer anderen Blockchain-Technologie, nämlich Ethereum, verwendet. Die Forscher beobachteten, dass 582 Bitcoin-Knoten über 4,5 Millionen Anfragen an 30303/UDP in fünf ihrer Honeypots sendeten. Daraus schlossen sie, dass diese Nodes in mehrere Kryptowährungen gleichzeitig involviert sind. China und die Vereinigten Staaten führten die Versuche mit etwa einhundert verschiedenen Quellen an, die den Ethereum-spezifischen Port ausloteten, während sie gleichzeitig auch im Bitcoin-Netz aktiv waren.
  • Stichprobenartige Kommunikationsversuche für HTTP auf 80/TCP und anderen Ports sind für mit dem Internet verbundene Nodes heute ziemlich normal. Bedenkt man die Zahl von Webcrawlern unterschiedlicher Legitimität und die Fülle von angreifbaren Zielen, so verwundert es, dass es dieses Protokoll in der Studie nicht einmal in die top fünf am meisten angesprochenen Ports schaffte. Die Forscher sahen weniger als 1,5 Millionen Verbindungen. Von diesen TCP-Sitzungen verwandelten sich nur etwa 17.000 in HTTP-Sitzungen – fast alle davon eklatante Reconnaissance-Versuche wie Nmap-Probes, Open Proxy-Checks und Sondierungen für phpMyAdmin. Weniger als ein halbes Dutzend Bitcoin-Nodes nahm an diesen HTTP-Kampagnen teil.
  • Dienste mit einer bekannten Vorgeschichte von Schwachstellen, Fehlkonfigurationen und Exploits zeigten Traffic in den meisten der bereitgestellten Honeypots, einschließlich SMB, SSH und RDP. Andere Ports erlebten nur sporadische Sondierungsaktivitäten. So wurden nur 34 verschiedene UDP-Ports im Heisenberg-Netz ausgelotet, während mehr als 8.000 verschiedene TCP-Zielports zusammenkamen. Der Großteil dieser Port-Scanning-Aktivitäten stammte von nur einem Knoten, der von einem auf DDoS-Schutz spezialisierten Cloud-Anbieter in Großbritannien betrieben wird.

Was steckt dahinter?

Dass ausgerechnet das Bitcoin-Netzwerk sich an schlechten Tagen ‘bösartiger’ verhält als das gesamte öffentliche IPv4-Internet, machte die Forscher stutzig.

Wie lassen sich die verdächtigen Aktivitäten begründen und was beabsichtigen die Node-Betreiber wirklich? Es gibt einige mögliche Erklärungen.

Zunächst einmal ist es durchaus möglich, dass der rechtmäßige Besitzer eines Bitcoin-Knotens auch feindliche Maßnahmen gegen das öffentliche Internet ergreift. Die Konkurrenz beim Bitcoin-Mining ist groß. Denkbar also, dass ein Betreiber seinen Wettbewerbern schaden will.

Daneben kann es sein, dass ein legitimer Bitcoin-Knoten auf irgendeine Weise kompromittiert wurde und nun von einem Angreifer als Launchpad für Cyberattacken genutzt wird. Weil Computersysteme im Bitcoin-Netzwerk Zugang zu Kryptowährungen haben und in der Regel eine große Rechenleistung aufweisen müssen, sind sie ein lohnendes Ziel für Hacker.

Eine weitere Erklärung ist, dass einige der verdächtigen Nodes bereits kompromittiert waren, bevor sie Teil des Bitcoin-Netzwerks wurden. Der Angreifer könnte auf so einem kompromittierten Rechner einen Bitcoin-Mining-Client installiert haben, ohne dass der Besitzer etwas davon ahnt. Per Cryptojacking schmuggeln Hacker etwa Javascript-Miner in normale Webseiten ein, die dann zum Bitcoin-Mining sowie für weitere Angriffe verwendet werden.

Schließlich ist es auch möglich, dass hinter einigen der beobachteten Aktivitäten keinerlei bösartige Absichten stecken, sondern dass sie vielmehr das Ergebnis einer Miskonfiguration sind. Die Heisenberg-Honeypots ändern mitunter ihre IP-Adresse und nehmen dabei vielleicht eine Adresse an, die zuvor Servern und Netzwerken gehörte, welche legitim mit dem Bitcoin-Netz zu tun hatten. In diesem Szenario könnten auch veraltete DNS-Records, gecachte DNS-Records oder andere überholte IP-Informationen eine Rolle spielen.

Es bleiben also noch Fragen offen. Weitere Studien sind nötig, um sie zu beantworten. Klar ist: Die Betreiber von Bitcoin-Nodes sollten wachsam sein.

Über die Autoren: Derek Abdine ist Senior Director bei Rapid7 Labs und Jon Hart ist Senior Security Researcher bei Rapid7.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45408727 / Malware)