Kryptowährungs-Mining Malware: Neue Gefahr für 2018?

Originalbeitrag von Menard Osena, Senior Product Manager

Wird Kryptowährungs-Mining Malware zur neuen Ransomware? Die Beliebtheit und steigende praktische Bedeutung von Kryptowährungen ist den Cyberkriminellen auch nicht entgangen — sie beschäftigen sich so intensiv damit, dass Mining Malware mittlerweile durchaus Schritt halten kann mit Ransomware, was deren Infamie angeht. Tatsächlich war Kryptowährungs-Mining 2017 der am häufigsten erkannte Netzwerkvorfall auf mit Home Routern verbundenen Geräten.


Bild 1. 2017 war Kryptowährungs-Mining der am häufigsten erkannte Netzwerkvorfall auf mit Home Routern verbundenen Geräten. (Basis: Trend Micro Smart Home Network)

Was Mitte 2011 quasi als „Nebenprodukt“ zu Haupt-Payloads wie Würmern und Backdoors entstand, entwickelte sich zu einer so effizienten Geldquelle, dass sogar Cyberspionage– und Ransomware-Operatoren sowie organisierte Hackergruppen auf den Zug aufsprangen.

Bitcoin etwa war im Januar 2017 rund 1.000$ wert und hat bis heute auf mehr als 11.000$ zugelegt. Der Spitzenwert lag sogar bei 20.000$ per Bitcoin. Monero (XMR) wartet mit der gleichen Erfolgsgeschichte auf, wobei dessen Wert von 13$ im Januar 2017 auf 325$ einen Monat später stieg. Und wo Geld zu machen ist, sind Bedrohungsakteure zur Stelle.

Der Einsatz von Kryptowährungs-Mining Malware und deren kometenhafter Aufschwung in der Bedrohungslandschaft ist ein Paradebeispiel dafür. Wie Bild 2 illustriert, nahm Kryptowährungs-Mining Malware Fahrt auf, gipfelte bei 116.361 Erkennungen im Oktober 2017 und stabilisierte sich im November und Dezember auf dem Niveau. Die meiste Kryptowährung-Mining Malware entdeckte Trend Micro in Japan, Indien, Taiwan, den USA und in Australien.

Bild 2. Zahl der Kryptowährungs-Mining Malware-Erkennungen 2017 (Basis: Trend Micro Smart Protection Network)

Bild 3. Erkennungen von Kryptowährungs-Mining Malware 2017 nach Ländern (Basis: Trend Micro Smart Protection Network)

Man kann davon ausgehen, dass es weitere Paradigmenwechsel geben wird: der Missbrauch von legitimen und Grayware-Tools, vor allem Coinhive zum Schürfen von Monero, und das Auftauchen von dateilosen Minern.

Von Bitcoin zu Monero

Coinhive liefert Anwendern eine etwas andere Monetisierungsplattform, denn sie umfasst einen einbettbaren JavaScript-Code, der die CPU der Site des Besuchers nutzt, um Monero zu schürfen. Der offensichtliche Vorteil der Methode und deren Anpassbarkeit sind natürlich für Cyberkriminelle sehr nützlich. Bösartige Versionen des Coinhive Miners standen weltweit an sechster Stelle der am häufigsten entdeckten Malware, und sogar offizielle Websites von Organisationen in den USA und Großbritannien waren betroffen sowie Cloud Server großer Unternehmen. Der Miner verbreitet sich auch über Malvertisements.

Das führt dazu, dass Monero und Coinhive die bei Cyberkriminellen beliebteste Kryptowährung ist. Der von Monero zum Schürfen genutzte Algorithmus— CryptoNight — ist gegen ASIC Mining resistent und eher dafür geeignet, Hashes auf CPUs von Verbraucher-Hardware zu berechnen.

Zwar ist Bitcoin-Mining technisch mithilfe einer CPU und Graphics Processing Unit (GPU) oder einer Kombination aus beiden immer noch möglich, doch ist dies nicht mehr so rentabel. Nachteile zeigen sich vor allem im Vergleich zu dedizierter Ausrüstung, die Application-Specific Integrated Circuit (ASICs)-Chips sowie Cloud-Mining Provider einsetzt. Inzwischen kann ein Miner ein Jahr lang 24/7 laufen und dennoch keinen einzigen Bitcoin schürfen.

Monero bringt den Vorteil des Einsatzes von Ring-Signaturen, infolge deren es schwieriger ist, die Spuren einer Transaktion über die Blockchain zu verfolgen — Adresse, Summe, Quelle und Ziel, Absender und Empfänger usw.

Dateilose Kryptowährungs-Mining Malware

Ähnlich der Entwicklung von Ransomware tauchen Exploits und Methoden für den Einsatz dateiloser Malware für die Installation von Minern auf. Coinhive stellt fest, dass beispielsweise zehn bis 20 aktive Miner auf einer Website einen monatlich Profit von 0,3 XMR, oder 97$ (Stand 22. Februar 2018) generieren können. Man male sich ein Szenario mit einer Armee von Zombiesystemen aus!

Trend Micro fand im letzten Jahr beispielsweise eine Kryptowährungs-Mining Malware, die EternalBlue für die Verbreitung und Windows Management Instrumentation (WMI) für Persistenz missbrauchte. Die Monero-Mining Malware Adylkuzz missbrauchte als erste EternalBlue vor WannaCry. Je länger ein System und Netzwerk nicht gepatcht wird, desto höher das Risiko einer wiederholten Infektion.

Eine typische Infektionskette über dateilose Mining Malware (Bild 4) beinhaltet das Laden des bösartigen Codes in den Hauptspeicher des Systems. Der einzige physische Hinweis auf eine Infektion ist das Vorhandensein einer bösartigen Batch-Datei, eines installierten WMI-Dienstes sowie einer PowerShell-Binärdatei. Für die Verbreitung nutzen einige EternalBlue Exploits, aber auch Mimikatz für das Sammeln von Nutzeranmeldedaten, um Maschinen in Monero-Schürfknoten zu verwandeln.

Schwachstellen werden eines der wichtigsten Einfalltore für Kryptowährung-Mining Malware werden. Dies zeigen auch die kürzlich erfolgten Einbruchsversuche in die Apache CouchDB-Datenbankmanagement-Systeme. JenkinsMiner, ein RAT (Remote Access Trojan), der auch einen Monero-Miner im Gepäck und Jenkins-Server zu Ziel hat, brachte seinen Betreibern Monero im Wert von 3 Millionen $.

Bild 4. Typischer Infektionsablauf von dateiloser Kryptowährungs-Mining Malware

Verhindern von Kryptowährungs-Mining Malware

Auch wenn die Auswirkungen von Mining Malware nicht so spürbar oder zerstörerisch sind wie die von Ransomware, stellen sie dennoch keine weniger ernste Gefahr dar. Im Dezember 2017 bewies die Loapi Monero-Mining Android-Malware, dass es auch physischen Schaden für Mobilgeräte geben kann.

Doch beim cyberkriminellen Kryptowährungsschürfen geht es nicht nur um Geräteschaden oder Rechenleistungsdiebstahl. Damit einher gehen auch Überlegungen zur sich permanent entwickelnden Technologielandschaft und zu den damit verbundenen Risiken und Bedrohungen. Trend Micro geht davon aus, dass Kryptowährungs-Mining Malware mit der  weiteren Verbreitung auch eine Vielfalt an Methoden mit sich bringen wird, um Systeme effizient zu infizieren. Aus diesem Grund ist es erforderlich, Sicherheitsmechanismen über eine tiefgehende Verteidigung zu vervollständigen, Best Practices nicht nur in Unternehmen sondern auch privat einzusetzen.

Bild 5. Trend Micros proaktive Lösungen zum Schutz vor dateiloser Kryptowährungs-Mining Malware

Trend Micro XGen™ Security liefert eine generationsübergreifende Mischung aus Verteidigungstechniken, um Systeme vor Kryptowährungs-Mining Malware zu schützen. Die Lösungen kombinieren Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu bieten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*