Cryptojacking als ernstzunehmende Warnung

bei

 / 22. July. 2019

Bitcoin, Monero und Ethereum geben selbst Experten immer wieder Rätsel auf. Der Wert der Kryptowährungen steigt und fällt – es bleibt spannend, auch für Kriminelle, die sich mithilfe von Cryptojacking an dem neuen Zahlungssystem bereichern. Dazu kapern sie mithilfe von Malware Rechenleistung zum Schürfen von Bitcoin & Co. Die Gefahr für Unternehmen liegt jedoch beim Cryptojacking vor allem darin, welche anderen Möglichkeiten sich Hackern eröffnen, wenn sie erst einmal Zugang zum Netzwerk haben. Wie können Unternehmen das illegale Cryptomining in ihren Systemen erkennen und im besten Fall verhindern?

Seitdem der Bitcoin 2018 abstürzte und andere Kryptowährungen wie Monero, Ethereum, Dash, Litecoin oder ZCash an der Börse mit nach unten riss, ist Cryptojacking im Vergleich der häufigsten Cyberbedrohungen abgerutscht. Ransomware hat sich den Spitzenplatz zurückerobert. Diese Einschätzung stützt sich unter anderem auf den Annual Security Report des Cyber-Security-Anbieters SecureLink [1].

In diese Argumentation passt das im März verkündete Aus von Coinhive. Diese legale Plattform stellte ein Javascript zur Verfügung, das Betreiber von Websites in ihren Internetauftritt einbauen konnten, um die Kryptowährung Monero zu schürfen. Ein Website-Besucher musste dem Mining zustimmen. Hacker implementierten jedoch manipulierte Coinhive-Skripte in fremde Webseiten, welche ohne Wissen und Zustimmung der Website-Besucher im Hintergrund Moneros abbauten. Der Gewinn floss in die Taschen der Kriminellen. Nun ist zu erwarten, dass Kriminelle auf andere Plattformen ausweichen, insbesondere auf CoinImp oder Crypto-Loot. Das browserbasierte Cryptojacking bleibt somit auch ohne Coinhive eine reale Gefahr und ein lukratives Geschäft.

Darauf deutet auch die aktuelle Entwicklung der Kryptowährungen hin. So kostet der Bitcoin [2] aktuell über 11.000 US-Dollar. Zum Vergleich: Die bekannteste Kryptowährung notierte zu Jahresanfang noch bei 3.300 US-Dollar. Auch wenn dies noch weit vom Höchstwert von 20.000 US-Dollar im Dezember 2017 entfernt ist, zeigt sich ein Aufwärtstrend.

Hinzu kommt, dass Cryptomining für Kriminelle selbst bei niedrigen Kursen eine kontinuierliche Einnahmequelle ist, sofern sie genügend Schürfer für sich arbeiten lassen. Daher sind Unternehmen gut beraten, sich mit Cryptojacking und etwaigen Schutzmaßnahmen zu beschäftigen

Die zweite illegale Mining-Variante

Hacker schleusen nicht nur Mining-Skripte in den Code von Websites ein, sondern installieren über Malware-Attacken auch Software auf den Computern von Betroffenen. Beim ersten Szenario endet das kriminelle Schürfen, wenn ein Browser-Nutzer seine Sitzung schließt. Die eigene Technik nimmt keinen Schaden. Als Prävention empfiehlt es sich, einen Adblocker zu installieren. Dieser verhindert das Einblenden von Anzeigen, die mit einem Mining-Javascript präpariert sein könnten. Zudem lässt sich das Aufrufen gefährlicher Webadressen über die Browser-Einstellung via Blacklisting verhindern.

Für die zweite, gefährlichere Variante nutzen Kriminelle Sicherheitslücken, um das Mining-Skript auf Webservern, Routern oder in Content-Management-Systemen einzupflanzen. In der Folge wird das Skript an alle Webseiten weiterverteilt, die durch diese Systeme fließen. Erschwerend kommt hinzu, dass die Hacker damit in das System eindringen. Sie können zum Beispiel Botnetze aufbauen und für DDoS-Attacken, Spam-Kampagnen oder Klick-Betrug weitervermieten. Ein weiterer Verbreitungsweg für das Skript sind präparierte Apps, sowohl für PCs als auch für mobile Endgeräte. Erst kürzlich beispielsweise hat Microsoft acht Applikationen [3] aus dem Windows Store entfernt, weil sie mit Cryptojacking-Malware infiziert waren.

Ressourcenklau in der Cloud

Richtig teuer kann es werden, wenn Hacker über Cloud-Infrastrukturen auf nahezu unbegrenzte Rechenleistung zugreifen. So war der Autohersteller Tesla Anfang 2018 Ziel eines Cryptojacking-Angriffes, der die AWS-Infrastruktur des Unternehmens mit Mining-Malware infiltrierte. Als Eingangstor nutzten die Kriminellen Kubernetes-Administrationskonsolen, die öffentlich über das Internet ohne Passwortschutz zugänglich waren. Das ergab ein Bericht der Sicherheitsspezialisten von RedLock Cloud Security [4] , die den Vorfall entdeckten.

Befallene Systeme werden langsamer, sind stärker ausgelastet und verbrauchen mehr Strom, was an dem aufwendigen Rechnen für das Schürfen liegt. Beim Erkennen solcher Vorfälle hilft deshalb eine Network-Monitoring-Lösung. Sie zeigt sowohl Auffälligkeiten in der Systemauslastung als auch verdächtige Netzwerkkommunikation auf, etwa weil Cryptojacking-Malware ihre Rechenaufgaben von einer Mining-Plattform erhält und ihre Resultate an diese schickt. Zur Erfassung von Anomalien tragen zudem Intrusion-Detection-Systeme (IDS) oder ein Security Information and Event Management (SIEM) bei.

Wie ein Proxy schützt

Präventiv können sich Unternehmen mit einer Enterprise-Proxy-Lösung wappnen, die gefährliche URLs zentral für alle Rechner im Netzwerk blockiert. Darüber hinaus bietet diese Log-Monitoring, Virenscanning sowie Sandboxing und filtert in machen Ausführungen Javascript heraus. Für den SSL-verschlüsselten (Secure Socket Layer) Webtraffic sollten Unternehmen eine SSL Inspection einrichten. Der Proxy entschlüsselt eingehende Daten, prüft diese und verschlüsselt sie vor der Weitergabe wieder. Sicherheitsverantwortliche sollten zusätzlich über Mobile Device Management (MDM) die Funktionen von Smartphones oder Tablets steuern oder einschränken. Ein zwischengeschalteter Proxy kann den Zugang zu privaten, nicht sicheren E-Mail-Accounts blockieren oder ein Installieren von Apps verhindern, die nicht freigegeben sind.

Neuer Trend: Formjacking

Wer sich nicht vor Mining-Malware schützt, ist auch durch andere Schadsoftware verwundbar. Derzeit zeichnet sich bereits ein neuer Trend ab: das sogenannte Formjacking. Die Kriminellen dringen über Webserver und Content-Management-Systeme ein, also über Server-Strukturen. Sie implantieren ein Javascript in Webseiten, das Daten aus Formularen abgreift. Gibt ein Kunde zum Beispiel seine Zahlungsinformationen ein und klickt auf den „Absenden“-Button, wird eine Kopie seiner Daten an den Hacker übermittelt, der sie dann selbst nutzen oder im Darknet weiterverkaufen kann. Formjacking ist an sich kein neues Phänomen. Im August und September 2018 hat der Sicherheitsspezialist Symantec [5] aber einen erheblichen Anstieg solcher Angriffe verzeichnet.

Den unbemerkten Kontrollverlust vor Augen

Cryptojacking-Malware tarnt sich schlau und hat meist keine gravierenden Folgen, weshalb viele Vorfälle unbemerkt bleiben. Unternehmen sollten die Gefahr jedoch trotzdem ernst nehmen, aufmerksam auf Anzeichen achten und ihre Sicherheitsvorkehrungen überprüfen. Denn selbst wenn es sich um eine „Malware light“ handelt, geht es dennoch um eine erfolgreiche Attacke, die auf Sicherheitslücken hindeutet. Auch andere Angreifer können diese Schwachstellen ausnutzen. Wenn es Hackern gelingt, ein System mit einer Cryptojacking-Malware zu infizieren, können sie unbemerkt die Kontrolle übernehmen. Unerwünschtes Cryptomining ist dann vermutlich das kleinste Problem, mit dem die Betroffenen rechnen müssen.

Quellen und Referenzen

[1] https://digitaleweltmagazin.de/2019/04/16/entwicklungen-in-der-bedrohungslandschaft-wie-es-im-jahr-2018-um-die-it-sicherheit-der-europaeischen-unternehmen-bestellt-war/

[2] https://www.bitstamp.net/

[3] https://threatpost.com/eight-cryptojacking-apps-booted-from-microsoft-store/141896/

[4] https://redlock.io/blog/cryptojacking-tesla

[5] https://www.symantec.com/blogs/threat-intelligence/formjacking-attacks-retailers

Ben Kröger ist seit 2002 Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security. Seit 2014 verantwortet er das Professional-Service-Angebot mit den Schwerpunkten Firewalling, Sandboxing, E-Mail-, Proxy- und Surf-Security.