123dartist - Fotolia
Wie sich illegale Krypto-Miner im Unternehmen stoppen lassen
Mit Hilfe von Malware etablieren Kriminelle Krypto-Miner auf Geräten von Unternehmen. Viele Security-Lösungen erkennen dies nicht, da sie die Warnzeichen nicht richtig deuten.
Kryptowährungen wie Bitcoin sind seit ihrer Entstehung Anlass für Kontroversen. Anhänger sehen in ihnen die Bezahlungsmöglichkeit der Zukunft: frei von Zwängen mit einem Höchstmaß an Privatsphäre. Die Kritiker weisen hingegen auf illegale Käufe und Steuerflucht hin. Während einige Regierungen damit begonnen haben, die Nutzung von Onlinewährungen einzuschränken, etablieren sich illegale Krypto-Miner als Einkommensquelle für Kriminelle, die sie mit Malware auf den Geräten unwissender Dritter einrichten. Das bringt einige Bedrohungen wie beispielsweise Hardware- und Geschäftsausfälle mit sich, die von den üblichen Antiviruslösungen nicht erkannt werden, weil sie die unterschiedlichen Warnzeichen nicht korrelieren können.
Beim Krypto-Mining müssen die Miner komplexe, mathematische Rätsel lösen, um Einheiten der Währung – auch Coins oder Münzen genannt – zu „schürfen“. Das heißt, dass die Betreiber der Miner eine entsprechende Gutschrift erhalten, dafür aber zunächst in die notwendigen Ressourcen und Energie investieren müssen. Um diesen Invest zu vermeiden, nutzen Kriminelle lieber den Computer eines Fremden, um die Coins einer Währung wie Bitcoin oder Ethereum herzustellen und sie sich selbst gutschreiben zu lassen. Das wird als Krypto-Jacking bezeichnet.
Mit Krypto-Jacking werden Ressourcen in Form von Rechenleistung und Energie gestohlen und in Kapital für den Angreifer umgewandelt. Die benötigte Hardware umfasst üblicherweise die Grafikprozessoreinheit (GPU) und Zentraleinheit (CPU).
Die Kosten werden weitergegeben
Ein Team russischer Wissenschaftler hat bereits den Supercomputer in einer Kernforschungsanlage als ungenehmigten Bitcoin-Miner genutzt. Durch die besonders hohe Rechenleistung konnte das Team die Berechnung für neue Coins beschleunigen und so ihre Ausbeute maximieren. Die hohe Effizienz bei minimalen Einstiegsinvestitionen ist auch das, was Krypto-Jacking generell antreibt. Durch die Schaffung eines verteilten Computernetzwerks, das aus Hunderten oder Tausenden von Zombie- oder kompromittierten Computern besteht, erzielen die Hintermänner eine möglichst hohe Leistung, während sie die laufenden Kosten für die Stromversorgung und Risiken weitergeben.
Ein anderes prominentes Beispiel in letzter Zeit kommt von der Regierung Großbritanniens, bei der aufgrund eines Kypto-Miners Webseiten ausfielen, weil die Täter Tausende von Regierungsrechnern infiziert hatten. Die Quelle der Infektion war ein kompromittiertes Browser-Plug-in eines Drittanbieters. Tausende von Homepages innerhalb und außerhalb Großbritanniens, darunter der britische National Health Service und der britische Datenschutzbeauftragte, waren von diesem Vorfall betroffen.
Potenziell kann jedes Endgerät ins Fadenkreuz der Kriminellen gelangen, solange es über IP kommuniziert. Windows-Systeme sind allerdings in der Regel das primäre Ziel der Krypto-Jacking-Malware. Als Mining-Bots wären aber auch die meisten anderen digitalen Geräte geeignet, wie zum Beispiel:
- macOS- und iOS-Geräte, einschließlich iPhones
- Alle Android-Geräte vom Smartphone bis zum Smart TV
- Moderne Spielkonsolen
- Die meisten gängigen Wi-Fi-Router
- IoT-Geräte innerhalb des Smart Homes
- Computer zur Überwachung von Rechenzentren
Krypto-Miner können die gekaperten Geräte zerstören
Der maximierte Energie- und Ressourcenbedarf durch unerwünschte Miner kann die gekaperten Prozessoren schnell überlasten, wenn die Maschinen ohne die richtige Kühlung und Vorkehrungen auf dieses Niveau gebracht werden. Selbst mit einem Schutz vor Überhitzung verkürzt sich die Lebensdauer der Hardware drastisch. Unternehmen, deren Geräte betroffen sind, erleben häufig einen Hardware- und Produktivitätsverlust, der durch Überhitzung verursacht wird.
Das treibt die Kosten schnell in kritische Höhen. Solche Szenarien sind nicht unwahrscheinlich, weil ein kompromittiertes Gerät sehr oft durch die Malware gezwungen wird, mit dem Maximum dessen zu arbeiten, was seine Komponenten verarbeiten können. Die ungesicherte Verbindung zwischen dem infizierten Host und dem Befehls- und Kontrollserver der Malware öffnet den Computer außerdem für weitere Infektionen durch andere Arten von Schadsoftware.
„Die größte Herausforderung, um unerwünschte Krypto-Miner zu stoppen, bleibt ihre Erkennung. Die Überwachung des Netzwerkverkehrs und des Maschinenstatus hilft dabei, die Anzeichen einer Infektion zu erkennen.“
Guy Grieve, LogPoint
Ein Endbenutzer oder Netzwerk-Administrator könnte zwar feststellen, dass eine Maschine langsamer als gewöhnlich läuft oder dass die CPU-Auslastung im Netzwerk hoch ist, aber die genaue Ursachenbestimmung wird erschwert. Die geringe Arbeitsgeschwindigkeit des befallenen Systems behindert die weiteren Untersuchungen und die von der Malware initiierten Mining-Prozesse können sich auch als normale Systemaufgaben tarnen, die herkömmlich Antiviruslösungen nicht als schädlich identifizieren.
Um Krypto-Jacking zu stoppen, müssen Korrelationen erkannt werden
Leider gibt es keinen pauschalen Schutz gegen Krypto-Jacking. Wie bei jeder Malware gibt es mehrere Angriffsvektoren, und diese von angeschlossenen Rechnern fernzuhalten, ist Teil eines allgemeinen Kampfs gegen Schadsoftware. Natürlich sollten die Sicherheitsteams die üblichen Standardtechniken befolgen, um die Folgen zu mindern. Darunter fällt beispielsweise das Aktualisieren der Antiviren- und Firewall-Einstellungen, die regelmäßige Installation der neusten Patchs auf allen Geräten sowie Ändern beziehungsweise Verstärken von Standard-Anmeldeinformationen und Whitelisting von Anwendungen. Außerdem kann die Sicherung von E-Mail-Gateways, die Entwicklung von Gegenmaßnahmen gegen Webinjektionen, die Implementierung von Best Practices für mobile Geräte und die Förderung des Sicherheitsbewusstseins der Mitarbeiter Wege sein, Krypto-Jacking im eigenen Unternehmen zu vermeiden.
Die größte Herausforderung, um unerwünschte Krypto-Miner zu stoppen, bleibt aber ihre Erkennung. Die proaktive Überwachung des Netzwerkverkehrs und des Maschinenstatus hilft dabei, die Anzeichen einer Infektion zu erkennen. Das umfasst Merkmale wie Spitzen in der CPU-Auslastung, übermäßiger Speicherverbrauch, Netzwerküberlastung oder unerklärliche Verlangsamung der Server. Wenn man diese jedoch isoliert betrachtet, reichen diese Warnsignale möglicherweise nicht aus, um Alarm zu schlagen. Teil der Lösung ist es deshalb, eine Korrelation solcher Anzeichen vorzunehmen.
Der Schlüssel dazu sind SIEM-Lösungen, die solche Anomalien erkennen und miteinander korrelieren können. Nur dann kann ein System-Administrator oder das SOC-Team die Verhaltensmuster identifizieren, die auf einen Krypto-Miner hinweisen. Sie können dann entscheiden, wie sie die Malware am besten stoppen, den Schaden mildern und die Menge der durch die Infektion verursachten Rechenenergie begrenzen können.
Fazit
Illegales Krypto-Mining ist aufgrund der gestiegenen Kurswerte deutlich attraktiver geworden und die Anonymität der Währung kommt den Kriminellen zugute. Für betroffene Privatpersonen, Regierungsorganisationen und Unternehmen bedeutet das, dass ihre wertvollen Systemressourcen wie Rechenleistung und Speicher blockiert werden, steigende Stromkosten oder sogar Produktivitätsausfälle und Folgekosten aufgrund beschädigter Hardware können die Folge sein. Um die Anzeichen dieser Form der Malware zu erkennen, reichen Antivirusscanner allerdings nicht aus, weil sie ihre Tätigkeit als legitimen Systemprozess tarnen kann, auf die Scanner in der Regel nicht anspringen.
Unternehmen sollten deshalb ihre Sicherheitslösungen prüfen und eine moderne SIEM-Lösung einsetzen, welche die Vielzahl der Warnzeichen erkennt und miteinander korrelieren kann. Nur so können die einzelnen Warnzeichen richtig eingeordnet und Gegenmaßnahmen eingeleitet werden, um die Folgen von Krypto-Minern abzumildern oder zu verhindern.
Über den Autor:
Guy Grieve ist Channel SE Manager, UK&I, bei LogPoint.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!