Cluster aus Coins: Maschinelles Lernen erkennt Schadsoftware für Kryptowährungs-Mining

Originalbeitrag von Jon Oliver and Menard Oseña


Angesichts der neuen Trends und Entwicklungen beim illegalen Schürfen von Kryptowährung stellt sich die dringende Forderung nach smarten, tragfähigen Möglichkeiten, diese Arten der Bedrohung zu entdecken. Mithilfe des Trend Micro Locality Sensitive Hashing (TLSH), eines Machine Learning-Hash, der in der Lage ist, ähnliche Dateien zu identifizieren, konnten die Sicherheitsforscher des Anbieters sich ähnelnde, „in der freien Wildbahn“ entdeckte Kryptowährungs-Samples in Gruppen zusammenstellen. Mit einer solchen, aufgrund von deren Verhalten und Dateitypus erstellten Gruppierung von Samples lässt sich ähnliche oder modifizierte Schadsoftware erkennen.

Mithilfe von TLSH fanden die Forscher Cluster für Malware für Kryptowährungs-Mining. Diese Cluster sollen Mining-Bedrohungen entdecken und analysieren, indem sie die mathematischen “Distanzergebnisse“ (distance scores) zwischen einer Datei und der nächsten berechnen. Der Algorithmus erzeugt eine zentrale TLSH einer Coinminer-Schadsoftware, der eine Gruppe weiterer Schadsoftware nahe kommt.

Mithilfe des Clusterns von Schadsoftware-Samples können Sicherheitsforscher One-to-Many-Muster erstellen, die proaktiv funktionieren. Der Grund dafür liegt darin, dass automatisierte Systeme (oder Reverse Engineers) die zu einer Malware-Gruppe gehörenden Samples untersuchen und die Ähnlichkeiten zwischen ihnen feststellen können. Wenn die Trend Micro-Systeme eine neue Datei prüfen, können sie dort nach Elementen suchen, die eine Malware-Gruppe aufweist, und danach gegebenenfalls bestätigen, dass sich die neue Datei in diese Gruppe einordnen lässt.

Darüber hinaus besitzt TLSH auch die Fähigkeit einer sofortigen und skalierbaren Suche sowie des Gegencheckens großer Mengen möglicherweise bösartiger oder unbekannter Dateien mit bekannten Bedrohungen. Weitere technische Einzelheiten bietet der Originalbeitrag.

Anhand der gesammelten Kryptowährungs-Mining-Bedrohungsmuster lässt sich feststellen, dass die Mehrheit nach Monero schürfte und den Mining-Algorithmus CryptoNight einsetzte.

Malware wendet sich Monero zu

Bitcoin war ursprünglich die Kryptowährung der Wahl für Cyberkriminelle, und ihr Wert schnellte 2017 bis auf 20.000 $ hoch. Doch nun scheint Monero die Führung zu übernehmen. Zwar liegt der Wert dieser Kryptowährung (224 $ derzeit) weit unter dem von Bitcoin (9.000 $ derzeit), doch lässt sich Monero auf Verbraucher-PCs und Laptops schürfen. Dies, gepaart mit nicht zurück verfolgbaren Transaktionen macht die Währung für böswillige Akteure interessant, die nun auf einer breiteren Plattformauswahl illegal Kryptowährung schürfen.

Trend Micro entdeckte sogar Samples, die den modifizierten quelloffenen Code von XMRig nutzten, um Monero oder andere mit CryptoNight zu schürfende Währungen zu erzeugen.

Bild 1. Screenshot eines bösartigen Samples des modifizierten XMRig Mining Tools

Achtung: Trend Micro Sicherheitsforscher lieferten Test-Schürfkonfigurationsdateien (Mining Pool-Adresse/Port und Monero Wallet-Adresse) für Testzwecke.

XMRig ist deshalb bei den Cyberkriminellen beliebt, weil es sich dabei um quelloffenen Code handelt, sodass es nicht schwer fällt, ihn anzupassen und für Kryptowährungs-Schürfattacken wieder zu verwenden. Sogar legitime Mining-Enthusiasten setzen das Befehlszeilen-Tool gern ein.

Schadsoftware für Kryptowährungs-Mining

Innerhalb nur weniger Jahre hat der Einsatz von Kryptowährungs-Mining Malware die Aufmerksamkeit vieler Cyberkriminellen auf sich gezogen. Sie wollen mithilfe von Malware, die die Rechenressourcen anderer missbraucht, illegal wertvolle Kryptowährungen erhalten und das Schürfen mehrmals einsetzen.

Im letzten Jahr nahm das Mining von Kryptowährung Fahrt auf und wurde zum am häufigsten entdeckten Vorfall in Heimnetzwerken. Dies zeigen die Daten aus dem Trend Micro™ Smart Home Network™. Die Sensoren des Smart Protection Network™ erkannten einen Höchststand bei Malware für das Schürfen von Kryptowährung.

Mining Malware wirkt sich negativ auf die Ressourcen des Opfers aus. Das Schürfen verbraucht sehr viel Strom und Rechenleistung, bis hin zur Überhitzung der Akkus eines Smartphones.

Man kann nicht davon ausgehen, dass illegales Kryptoschürfen abnehmen wird – im Gegenteil, Cyberkriminelle diversifizieren ihre Angriffsmethoden. Umso mehr müssen Lösungen erstellt werden, die Schutz vor dieser Vielfalt an Mining-Schadsoftware bieten.

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination von Verteidigungstechniken, um Systeme vor Kryptowährungs-Mining Malware zu schützen. Die Technologie verbindet Machine Learning-Fähigkeiten, die TLSH nutzen, mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern. XGen stellt seine Stärken den Sicherheits-Suiten von Trend Micro zur Verfügung: Hybrid Cloud SecurityUser Protection, und Network Defense.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.