Kampf der Linux Kryptowährungs-Miner um Ressourcen

Originalbeitrag von Alfredo Oliveira, David Fiser

Das Linux-Ökosystem steht in dem Ruf, sicherer und zuverlässiger als andere Betriebssysteme zu sein. Das erklärt möglicherweise auch, warum Google, die NASA und das US-Verteidigungsministerium Linux für ihre Online-Infrastrukturen und -Systeme nutzen. Leider ist die weite Verbreitung der Linux-Systeme auch für Cyberkriminelle sehr attraktiv. Mittlerweile wird ein rücksichtsloser Kampf um Rechenleistung zwischen den verschiedenen Kryptowährungs-Mining- Programmen, die auf Linux-Systeme abzielen, ausgetragen. Der Beitrag stellt die Angriffskette dar, einschließlich der Verschiebung der Eintrittspunkte unter anderem auf Docker-Umgebungen und Anwendungen mit offenen APIs.

Kryptowährungs-Mining ist an sich nicht bösartig, doch nicht alle, die nach der profitablen Kryptowährung schürfen, tun dies legal. Und da der Markt für Kryptowährungen mehr als 350 Milliarden $ übersteigt, handelt es sich dabei um wahre digitale Schätze.

Cyberkriminelle missbrauchen Kryptowährungs-Mining, indem sie Mining-Malware auf den Geräten ahnungsloser Benutzer installieren und deren Verarbeitungskapazitäten ohne Autorisierung nutzen. Auf diese Weise können sie mühelos profitieren, ohne in die notwendige Kryptowährungs-Mining-Infrastruktur investieren zu müssen.

In den letzten Jahren hat es einen massiven Anstieg bei Mining Malware gegeben, vor allem solcher für Monero. Diese bietet vollständige transaktionale Anonymität und Vertraulichkeit und ist damit ideal für den Missbrauch bei illegalen Aktivitäten geeignet. Cyberkriminelle versuchen, ihre potenziellen Einkünfte zu maximieren, indem sie sich auf leistungsstarke Geräte mit beträchtlichen Rechenkapazitäten konzentrieren und dort weitere Mining-Malware vernichten, um so die Plattformen und Geräte, die sie infizieren können, zu erweitern.

Die Sicherheitsforscher von Trend Micro analysierten KORKERDS, eine Linux Malware-Variante, die ein Rootkit mitbringt, das bösartige Prozesse vor den Monitoring-Tools auf einem infizierten System verbirgt. Eine weitere Linux-Malware Skidmap kann die Sicherheitseinstellungen auf einem infizierten Gerät herabsetzen und liefert böswilligen Akteuren den Backdoor-Zugriff.

Beide Varianten nutzen komplexe Techniken zum Missbrauch der Ressourcen eines Opfers. Nun gibt es eine Charakteristik, die immer häufiger anzutreffen ist und die die Forscher in ihren Honeypots aber auch in der Praxis gefunden haben – nämlich Routinen, die andere ähnliche Malware in infizierten Geräten, Systemen und Umgebungen deaktivieren und entfernen.

Eine der Routinen dieser Mining Malware besteht darin, nach einer Infektion nach weiteren Mining-Konkurrenten zu suchen. Entdeckt sie eine solche Malware, schaltet sie die Prozesse ihrer Konkurrenten ab, löscht ihre Spuren aus dem System und sorgt dafür, dass diese Konkurrenten nicht mehr laufen können.

Diese Mining-Samples zielen nicht nur auf Linux-Host-Rechner ab, die als persönliche Geräte verwendet werden, sondern auch auf leistungsstarke Tools, die Unternehmen im Rahmen von DevOps nutzen, wie etwa Docker und Redis.

Die analysierten Samples suchen nicht nur nach ressourcenintensiven Prozessen auf dem Host-Rechner, sondern auch nach Docker-Containern, die für Mining genutzt werden. Mit diesem Verhalten soll gewährleistet werden, dass die zuletzt eingesetzte Malware die Rechenleistung des Hosts nutzen kann.

Auch Cyberkriminelle haben ihren Horizont erweitert und greifen die AWS-Infrastruktur an, auf der mit Mining-Malware infizierte Docker- sowie Kubernetes-Systeme laufen und stehlen AWS-Anmeldedaten.

Bild. Die Infektionskette von Kryptowährungs-Mining Malware in offenen APIs

Ein häufiger Trend oder eine Technik, die in der Vergangenheit von Malware-Akteuren eingesetzt wurde, bestand darin, eine Schwachstelle in einem öffentlich gehosteten Dienst auszunutzen, um Privilegien für die Codeausführung zu erlangen. Diese Technik ermöglichte es einem Angreifer, ein Botnet zu erstellen oder einen Coinminer im System zu installieren. Eine neuere Technik ist immer häufiger anzutreffen, bei der nach offenen APIs gesucht wird, die es ermöglichen, sich Zugriff auf Container oder Privilegien für die Codeausführung zu verschaffen. Auch hat sich die Mining Malware von On-Premise-Geräten hin zu Containern und in die Cloud verlagert. Technische Einzelheiten zum Ablauf liefert der Originalbeitrag.

Schutz vor Mining Malware

Um Systeme, Geräte und Umgebungen zu schützen, sollten IT- und Systemadministratoren Best Practices befolgen, so etwa die konsequente Anwendung des Prinzips der Mindestprivilegien, regelmäßiges Patching und Aktualisieren von Systemen, Einsatz von Mehrfaktorauthentifizierung, Nutzen von verifizierten Sicherheits-Extensions sowie Aufstellen von Zugangskontrollrichtlinien. Auch ist es von Bedeutung, API-Konfigurationen zu überprüfen, um sicherzustellen, dass Anfragen von einem festgelegten Host oder internen Netzwerk kommen. Des Weiteren sind regelmäßige Scans des Hosts nach offenen Ports wichtig sowie eingeschränkter SSH-Zugang.

Unternehmen können sich auch mithilfe von Lösungen schützen wie Trend Micro™ Hybrid Cloud Security, die mit einer schlanken, funktionsstarken und automatisierten Sicherheit die DevOps Pipeline sichern kann. Sie liefert mehrere XGen  Threat Defense-Techniken für die Sicherheit von physischen, virtuellen und Cloud Workloads zur Laufzeit. Unterstützt wird die Lösung durch die Cloud One™ Plattform, die ein einheitliches, zentrales Dashboard für die hybriden Cloud-Umgebungen liefert sowie Network Security, Workload Security, Container Security, Application Security, File Storage Security und Conformity-Services.

Für Organisationen, die Sicherheit als Software für Runtime-Workloads, Container-Images sowie Datei- und Objektspeicher suchen, scannt Deep Security™, Deep Security Smart Check Workloads und Container-Images in jedem beliebigen Intervall in der Entwicklungs-Pipeline auf Malware und Schwachstellen, um Bedrohungen zu verhindern, bevor die Assets eingesetzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.