Bedrohungsforschung

Der Einfluss der Kryptowährungen auf die Cyberkriminalität: die zunehmende Verbreitung von Krypto-Mining

Einleitung

Cyberkriminelle interessieren sich für Kryptowährungen, weil diese ein gewisses Maß an Anonymität bieten und einfach zu Geld gemacht werden können. Das Interesse hat in den letzten Jahren stark zugenommen und Kryptowährung wird nicht mehr nur als praktisches Zahlungsmittel für illegale Tools und Services angesehen. Viele Hacker haben versucht, sich die steigende Nachfrage und den damit verbundenen Preisanstieg zunutze zu machen. Zu ihren Methoden zählen unter anderem das schädliche Krypto-Mining (auch Krypto-Jacking genannt), der Diebstahl von Anmeldedaten für Kryptowährungskonten, Erpressungsversuche und Angriffe auf Kryptobörsen.

In diesem Blogbeitrag stellen wir die verschiedenen Trends vor, die wir in Bezug auf das Krypto-Jacking beobachtet haben. Dazu gehören das Hinzufügen von Krypto-Jacking-Modulen zu gängiger Malware, die Zunahme von Drive-by-Krypto-Mining-Angriffen und der Einsatz von mobilen Apps mit Krypto-Jacking-Code. Außerdem erläutern wir, warum Krypto-Jacking eine Gefahr für kritische Infrastrukturen ist, und erklären verschiedene Bereitstellungsmechanismen.

Was ist Mining?

Transaktionen in einer Blockchain bauen aufeinander auf und müssen im gesamten Netzwerk validiert und verbreitet werden. Wenn der mit dem Blockchain-Netzwerk (den Nodes) verbundene Computer die Transaktionen im Netzwerk validiert und verbreitet, fassen die Miner diese Transaktionen in "Blöcken" zusammen, die dann zur Blockchain hinzugefügt werden können. Jeder Block ist mit einem Hashwert verschlüsselt und muss den Hash des vorherigen Blocks enthalten. Diese "Verkettung" wird Blockchain genannt. Die Miner können den komplexen Hashwert eines gültigen Blocks nur mithilfe der Rechenkraft eines Computers' ermitteln. Je mehr Blöcke geschürft werden, desto ressourcenintensiver wird die Berechnung der Hashwerte. Um dieses Problem zu umgehen und das Mining zu beschleunigen, schließen sich Miner in "Pools" zusammen. Dabei berechnen mehrere Computer gemeinsam die gültigen Hashwerte. Je größer die Rechenleistung eines 'Pools, desto besser stehen seine Chancen, neue Blöcke zu erstellen. Wird der neue Block hinzugefügt, werden alle Teilnehmer des Pools' mit digitalen Münzen, sogenannten Coins, entlohnt. In Abbildung 1 sehen Sie die Rolle der Miner in einem Blockchain-Netzwerk.


Abbildung 1: Die Rolle der Miner

Steigendes Interesse auf Webseiten im Untergrund

FireEye iSIGHT Intelligence hat festgestellt, dass Hacker schon mindestens seit 2009 auf Webseiten im Untergrund Krypto-Mining und ähnliche Themen diskutieren. Häufig gesuchte Begriffe sind beispielsweise „Miner“, „Cryptonight“, „Stratum“, „Xmrig“ und „Cpuminer“. In einigen Fällen bieten die Suchergebnisse keinen Kontext, doch die Suchfrequenz deutet darauf hin, dass das Interesse Anfang 2017 stark anstieg (Abbildung 2). Möglicherweise wird das Krypto-Jacking von einer Untergruppe von Hackern vor anderen finanziell motivierten Angriffsmethoden bevorzugt, da sie vermuten, dass die Strafverfolgungsbehörden zu diesen Aktivitäten noch nicht aufgeschlossen haben.


Abbildung 2: Häufigkeit der Suchbegriffe auf Untergrund-Websites

Großes Interesse an Monero

Die meisten neuen Krypto-Jacking-Angriffe konzentrierten sich auf Monero, eine Open-Source-Kryptowährung, die auf dem CryptoNote-Protokoll basiert (einer Abwandlung von Bytecoin). Im Gegensatz zu vielen anderen Kryptowährungen verwendet Monero eine einzigartige Technologie, die sogenannten "Ringsignaturen". Dabei werden die 'öffentlichen Schlüssel der Benutzer nach dem Zufallsprinzip eingesetzt und können nicht verfolgt werden. Einzelne Benutzer sind also nicht identifizierbar. Monero nutzt außerdem ein Protokoll, das mehrere eindeutige Adressen für die einmalige Verwendung generiert. Diese können nur dem Zahlungsempfänger zugeordnet werden und lassen sich nicht durch Blockchain-Analysen aufdecken. Daher sind Monero-Transaktionen nicht nachverfolgbar und kryptografisch sicher.

Zusätzlich wird ein 'für "Prozessoren optimierter" Hash-Algorithmus namens CryptoNight verwendet, der sich im Gegensatz zu dem SHA-256-Algorithmus von Bitcoin' für das Mining auf Chips in anwendungsspezifischen industriellen Steuersystemen (ASIC-Chip-Mining) kaum lohnt. Diese Funktion ist für die Monero-Entwickler äußerst wichtig und ermöglicht ein rentables CPU-Mining. Viele Cyberkriminelle entscheiden sich aufgrund des starken Fokus auf die Privatsphäre bzw. Anonymität und der Rentabilität des CPU-Mining für Monero.

Werbung für Miner

Die meisten Miner-Dienstprogramme sind kleine Open-Source-Tools; daher vertrauen viele Cyberkriminelle auf sogenannte Crypter. Crypter nutzen Techniken zur Verschlüsselung, Verschleierung und Codemanipulation, um ihre Tools und Malware vollständig zu verbergen. In Tabelle 1 sind einige der am häufigsten ausgenutzten Monero-Mining-Dienstprogramme aufgeführt.

XMR Mining Utilities

XMR-STACK

MINERGATE

XMRMINER

CCMINER

XMRIG

CLAYMORE

SGMINER

CAST XMR

LUKMINER

CPUMINER-MULTI

Tabelle 1: Häufig verwendete Monero-Miner-Dienstprogramme

Im Folgenden stellen wir einige Beispiele für Werbeanzeigen für Miner-Dienstprogramme vor, die in Untergrund-Foren und -Märkten geschaltet wurden. Es wurde für diverse Versionen geworben – von eigenständigen Programmen bis zu Paketen mit anderen Funktionen, zum Beispiel für den Diebstahl von Anmeldedaten, Fernwartungstools, Verbreitung über USB-Geräte und DDoS-Funktionen (Distributed Denial of Service).

Beispielanzeige 1 (Smart Miner + Builder)

Anfang April 2018 entdeckte FireEye iSIGHT Intelligence das Angebot des Angreifers "Mon£y", der Monero-Miner für 80 US-Dollar verkaufte. Bezahlt werden konnte in Bitcoin, Bitcoin Cash, Ether, Litecoin oder Monero. Das Angebot umfasste unbegrenzte Builds, kostenlose automatische Updates und Support rund um die Uhr. In seinem Tool Monero Madness (Abbildung 3) konnte über die Einstellung „Madness Mode“ festgelegt werden, dass der Miner nur gestartet wird, wenn das infizierte Gerät mindestens 60 Sekunden lang inaktiv war. Auf diese Weise lässt sich das volle Potenzial des Miners ausnutzen, ohne Gefahr zu laufen, vom Gerätebesitzer erkannt zu werden. Außerdem umfasst Monero Madness angeblich die folgenden Funktionen:

  • Unbegrenzte Builds
  • Builder-GUI (Abbildung 4)
  • Erstellt in AutoIT (keine Abhängigkeiten)
  • Vollständig verborgen
  • Sicherere Fehlerbehebung
  • Mit dem neuesten XMRig-Code
  • Anpassbarer Pool/Port
  • Verpackt mit UPX
  • Unterstützung aller Windows-Betriebssysteme (32- und 64-Bit)
  • „Madness Mode“-Option


Abbildung 3: Monero Madness


Abbildung 4: Monero Madness Builder

Beispielanzeige 2 (Miner + Telegram Bot Builder)

Im März 2018 entdeckte FireEye iSIGHT Intelligence das Angebot des Angreifers "kent9876", der einen Monero-Miner namens Goldig Miner (Abbildung 5) verkaufte. Der Angreifer verlangte 23 US-Dollar für die CPU oder GPU und 50 USD für beide. Zahlungen waren in Bitcoin, Ether, Litecoin und Dash oder über PayPal möglich. Der Miner umfasst angeblich die folgenden Funktionen:

  • Erstellt in C/C++
  • Kleiner Build (ca. 100 bis 150 KB)
  • Verbergung der Miner-Prozesse vor gängigen Task-Managern
  • Ausführung ohne Administratorrechte möglich (Benutzermodus)
  • Automatische Updates
  • Verschlüsselung aller Daten mit einem 256-Bit-Schlüssel
  • Zugriff auf die Telegram-API zur Erstellung von Bots
  • Support rund um die Uhr über Telegram für die gesamte Laufzeit


Abbildung 5: Anzeige für Goldig Miner

Beispielanzeige 3 (Miner + Programm für den Diebstahl von Anmeldedaten)

Im März 2018 entdeckte FireEye iSIGHT Intelligence ein Angebot des Angreifers "TH3FR3D", der das Tool Felix (Abbildung 6) verkaufte. Dieses Tool umfasst einen Krypto-Miner und ein Programm für den Diebstahl von Anmeldedaten. Es wurde für 50 US-Dollar angeboten, die in Bitcoin oder Ether bezahlt werden konnten. Laut der Anzeige umfasst das Tool die folgenden Funktionen:

  • Erstellt in C# (Version 1.0.1.0)
  • Diebstahlprogramm für alle gängigen Browser (Cookies, gespeicherte Passwörter und gespeicherte Daten für das automatische Ausfüllen von Formularfeldern)
  • Monero-Miner (standardmäßig minergate.com-Pool, aber konfigurierbar)
  • Filezilla-Diebstahlprogramm
  • Tool zum Abrufen von Dateien auf dem Desktop (TXT und andere Formate)
  • Download und Ausführung von Dateien
  • Updates
  • Funktion zur Verbreitung über USB-Geräte
  • PHP-Weboberfläche


Abbildung 6: Felix HTTP

Beispielanzeige 4 (Miner + RAT)

Im Januar 2018 entdeckte FireEye iSIGHT Intelligence das Angebot des Angreifers "ups", der einen Miner für CryptoNight-basierte Kryptowährungen wie Monero oder Dashcoin für Linux- oder Windows-Betriebssysteme verkaufte. Zusätzlich zur Mining-Funktion kann das Tool angeblich die lokalen Zugriffsrechte durch Ausnutzung der Sicherheitslücke CVE-2016-0099 erweitern, Remote-Dateien herunterladen und ausführen sowie Befehle empfangen. Das Windows- oder Linux-Tool wird für 200€ angeboten, beide Builds zusammen kosten 325€. Der Betrag kann in Monero, Bitcoin, Ether oder Dash entrichtet werden. Das Tool umfasst angeblich die folgenden Funktionen:

Für Windows

  • Erstellt in C++ (keine Abhängigkeiten)
  • Miner-Komponente basierend auf XMRig
  • Einfache Verschlüsselungs- und VPS-Hosting-Funktionen
  • Weboberfläche (Abbildung 7)
  • Sichere Kommunikation über TLS
  • Downloads und Ausführung von Dateien
  • Automatische Updates
  • Bereinigungsprogramm
  • Empfang von Remote-Befehlen
  • Erweiterung der Zugriffsrechte
  • "Spielmodus" (Mining wird unterbrochen, wenn der Benutzer ein Spiel spielt.)
  • Proxy-Funktion (basierend auf XMRig)
  • Support (für 20 €/Monat)
  • Außerkraftsetzen anderer aufgeführter Miner
  • Nicht erkennbar für Task-Manager
  • Konfigurierbare Pools, Coins und Währungskonten (über die Oberfläche)
  • Die folgenden CryptoNight-basierten Währungen können geschürft werden:
    • Monero
    • Bytecoin
    • Electroneum
    • DigitalNote
    • Karbowanec
    • Sumokoin
    • Fantomcoin
    • Dinastycoin
    • Dashcoin
    • LeviarCoin
    • BipCoin
    • QuazarCoin
    • Bitcedi

Für Linux

  • Probleme auf Linux-Servern (bessere Leistung auf Desktop-Betriebssystemen)
  • Kompatibel mit AMD64-Prozessoren unter Ubuntu, Debian und Mint (Unterstützung von CentOS geplant)


Abbildung 7: Weboberfläche des Miner-Bots

Beispielanzeige 5 (Miner + Funktion zur Verbreitung über USB-Geräte + DDoS-Tool)

Im August 2017 entdeckte FireEye iSIGHT Intelligence ein Angebot des Angreifers "MeatyBanana", der einen Monero-Miner mit zusätzlichen Funktionen zum Herunterladen und Ausführen von Dateien und Durchführen von DDoS-Angriffen verkaufte. Die Software wurde für 30 US-Dollar angeboten, zahlbar in Bitcoin. Das Tool funktioniert angeblich nur mit CPUs und umfasst die folgenden Funktionen:

  • Konfigurierbarer Miner-Pool und -Port (standardmäßig minergate)
  • Kompatibel mit 64- und 86-Bit-Windows-Betriebssystemen
  • Nicht erkennbar für die folgenden gängigen Task-Manager:
  • Windows Task-Manager
  • Process Killer
  • KillProcess
  • System Explorer
  • Process Explorer
  • AnVir
  • Process Hacker
  • Maskierung als Systemtreiber
  • Keine Administratorrechte erforderlich
  • Keine Abhängigkeiten
  • Registry-Persistenzmechanismen
  • Durchführung von "Aufgaben" (Herunterladen und Ausführen von Dateien, Aufrufen einer Website und Durchführen von DDoS-Angriffen)
  • Funktion zur Verbreitung über USB-Geräte
  • Support nach dem Kauf

Die Kosten des Krypto-Jacking

Eine Mining-Software kann in einem Netzwerk in drei Bereichen Kosten anhäufen, da dem Miner ständig Ressourcen zugewiesen werden:

  1. Verschlechterung der Systemleistung
  2. Höhere Stromkosten
  3. Potenzielle Aufdeckung von Sicherheitslücken

Krypto-Jacking zielt auf die Rechenleistung ab, sodass die CPU-Auslastung ansteigt und die Leistung abnimmt. Im schlimmsten Fall kann aufgrund der Überlastung sogar das Betriebssystem abstürzen. Eventuell versuchen manipulierte Geräte auch, andere Computer zu infizieren. Dadurch werden große Mengen an Datenverkehr generiert, der die Computernetzwerke' überlastet.

Bei Netzwerken mit Betriebstechnik (Operational Technology, OT) hätte dies gravierende Folgen. In Umgebungen mit industriellen Steuersystemen und SCADA-Systemen werden noch überwiegend jahrzehntealte Hardware und Netzwerke mit einer geringen Bandbreite eingesetzt. Schon eine geringe Steigerung der CPU-Auslastung oder des Netzwerkverkehrs kann dazu führen, dass die Systeme nicht mehr richtig reagieren und die Prozesse nicht mehr in Echtzeit gesteuert werden können.

Stromkosten werden in Kilowattstunden (kWh) berechnet und hängen von mehreren Faktoren ab: wie häufig wird die Miner-Schadsoftware ausgeführt, wie viele Threads werden' dabei eingesetzt und wie viele Geräte im Netzwerk 'werden ausgenutzt. Die Kosten pro kWh variieren daher stark und hängen vom geografischen Standort ab. Sicherheitsexperten haben beispielsweise Coinhive 24 Stunden lang auf einem Computer ausgeführt und dabei einen Stromverbrauch von 1,212 kWh berechnet. Sie schätzten, dass die monatlichen Stromkosten für diesen Verbrauch in den USA bei 10,50 US-Dollar, in Singapur bei 5,45 US-Dollar und in Deutschland bei 12,30 US-Dollar liegen würden.

Durch Krypto-Jacking treten häufig auch übersehene Sicherheitslücken im Unternehmensnetzwerk' zutage. Unternehmen, die mit Krypto-Mining-Malware infiziert wurden, sind meist auch anfällig für schwerwiegendere Exploits und Angriffe, wie Ransomware oder speziell auf industrielle Steuersysteme ausgerichtete Malware wie TRITON.

Techniken für die Verbreitung der Krypto-Miner

Um einen maximalen Gewinn zu erzielen, streuen Cyberkriminelle die Miner so weit wie möglich. Dazu nutzen sie Techniken wie die Einbindung von Krypto-Jacking-Modulen in bestehende Botnets, Drive-by-Krypto-Mining-Angriffe, mobile Apps mit Krypto-Jacking-Code sowie Spam-E-Mails und selbstverbreitende Dienstprogramme. Hacker können mithilfe von Krypto-Jacking zahlreiche Geräte infizieren und deren Rechenleistung ausnutzen. Am häufigsten zielen sie auf diese Geräte ab:

  • Endgeräte der Benutzer
  • Unternehmensserver
  • Websites
  • Mobilgeräte
  • Industrielle Steuersysteme
Krypto-Jacking in der Cloud

Sowohl Unternehmen im Privatsektor als auch staatliche Behörden verlagern ihre Daten und Anwendungen zunehmend in die Cloud. Hackergruppen haben ihre Techniken bereits daran angepasst. In der letzten Zeit wurden vermehrt Krypto-Mining-Angriffe gemeldet, die gezielt auf Cloud-Infrastrukturen ausgerichtet waren. Diese sind für Hacker insofern interessant, als dass sie eine Angriffsfläche mit einer großen Rechenleistung und einer Umgebung bieten, in der hohe CPU-Auslastungen und Stromkosten nahezu die Norm sind. So fallen Mining-Prozesse weniger auf und werden häufig nicht bemerkt. Wir sind uns recht sicher, dass Hacker auch weiterhin Unternehmensnetzwerke in der Cloud angreifen werden, um die Rechenressourcen auszunutzen.

Einige Beispiele aus der Praxis:

  • Im Februar 2018 veröffentlichten FireEye-Experten einen Blogbeitrag, in dem verschiedene Techniken beschrieben wurden, mit denen Angreifer Miner-Schadcode verbreiten (insbesondere auf anfälligen Oracle-Servern). Die Hacker nutzten dazu die Sicherheitslücke CVE-2017-10271 aus. In unserem Blog finden Sie weitere Informationen zu den Angreiferaktivitäten nach dem Eindringen in das Unternehmensnetzwerk und den Techniken zur Verbreitung vor dem Mining, die bei diesen Angriffskampagnen zum Einsatz kamen.
  • Im März 2018 berichtete Bleeping Computer von dem Trend, über anfällige Docker- und Kubernetes-Anwendungen Krypto-Mining-Angriffe auf die Cloud auszuführen. Diese Softwaretools werden häufig von Entwicklern eingesetzt, um die Cloud-Infrastruktur' zu skalieren. In den meisten Fällen waren Anwendungen fehlerhaft konfiguriert und/oder die Sicherheitsmaßnahmen und Passwörter waren zu schwach.
  • Im Februar 2018 berichtete Bleeping Computer zudem von Hackern, die in die Cloud-Server von Tesla' eingedrungen waren, um Monero-Miner auszuführen. Die Hacker fanden eine Kubernetes-Konsole ohne Passwortschutz und konnten daher die Anmeldedaten für die AWS S3-Cloud-Umgebung (Amazon Web Services) von Tesla abrufen. Nachdem sich die Hacker mithilfe der gestohlenen Anmeldedaten Zugriff auf die AWS-Umgebung verschafft hatten, starteten sie das Krypto-Jacking.
  • Krypto-Jacking-Angriffe aufgrund von falsch konfigurierten AWS S3-Cloud-Storage-Buckets wurden ebenfalls gemeldet, zum Beispiel bei dem Angriff auf die LA Times-Website im Februar 2018. Über die anfälligen AWS S3-Buckets konnte jeder Internetnutzer auf die gehosteten Inhalte zugreifen und diese ändern. Auf diese Weise gelangten auch Mining-Skripte und andere Schadsoftware in die Umgebung.
Einbindung von Krypto-Jacking in bestehende Botnets

FireEye iSIGHT Intelligence hat festgestellt, dass mehrere bekannte Botnets wie Dridex und Trickbot Krypto-Mining einbinden. Viele dieser Prozesse sind kombinierbar und können Remote-Dateien herunterladen und ausführen. Das nutzen die Angreifer aus, um sie in Krypto-Jacking-Bots umzuwandeln. Bisher wurden diese Techniken überwiegend für den Diebstahl von Anmeldedaten verwendet (insbesondere Anmeldedaten für Bankkonten), aber das Hinzufügen von Mining-Modulen oder das Herunterladen von sekundärem Mining-Schadcode verschafft den Angreifern eine weitere Umsatzquelle – bei einem äußerst geringen Aufwand. Dies gilt insbesondere für Fälle, in denen die Opfer als unrentabel galten oder der ursprüngliche Angriff bereits abgeschlossen war.

Einige Beispiele aus der Praxis:

  • Anfang Februar 2018 beobachtete FireEye iSIGHT Intelligence, wie die Dridex-Botnet-ID 2040 einen Monero-Krypto-Miner herunterlud, der auf dem Open-Source-XMRig-Miner basierte.
  • Am 12. Februar 2018 beobachtete FireEye iSIGHT Intelligence, wie die Banken-Malware IcedID JavaScript-Code für das Monero-Mining in Webseiten bestimmter URLs einfügte. Der IcedID-Code startete mithilfe des Mining-Codes 'AuthedMine von Coinhive einen anonymen Miner.
  • Ende 2017 berichtete Bleeping Computer, dass Radware-Sicherheitsexperten beobachtet hatten, wie die Hackergruppe CodeFork mit dem gängigen Downloader Andromeda (auch Gamarue genannt) Miner-Module an ihre bestehenden Botnets verteilten.
  • Ende 2017 beobachteten FireEye-Experten, wie Trickbot-Betreiber ein neues Modul namens "testWormDLL" bereitstellten, eine statisch kompilierte Version des gängigen XMRig-Monero-Miners.
  • Am 29. August 2017 berichtete Security Week von einer Variante des bekannten Neutrino-Banking-Trojaners, die auch ein Monero-Miner-Modul enthielt. Laut dem Bericht zielte die neue Variante nicht mehr auf Kreditkartendaten ab, sondern lud ausschließlich Module von einem Remote-Server herunter und führte diese aus.

Drive-by-Krypto-Jacking

Im Browser

FireEye iSIGHT Intelligence hat verschiedene Kundenberichte über browserbasiertes Krypto-Mining untersucht. Browserbasierte Mining-Skripte wurden auf kompromittierten Websites und Werbeplattformen von Drittanbietern gefunden und sogar legitim von den Entwicklern auf Websites platziert. Mining-Skripte können zwar direkt in den Quellcode einer Webseite' integriert werden, aber meistens werden sie über Websites Dritter geladen. Die Identifizierung und Erkennung von Websites, auf denen Mining-Code eingebettet wurde, ist nicht immer einfach, da nicht alle Skripte von Website-Publishern autorisiert werden, zum Beispiel bei einer kompromittierten Website. Doch auch wenn die Skripte vom Website-Inhaber autorisiert wurden, werden Besucher der Website nicht immer darüber informiert. Zum Zeitpunkt des Berichts war Coinhive das am weitesten verbreitete Skript. Coinhive ist eine Open-Source-JavaScript-Bibliothek, deren Skripte auf eine anfällige Website geladen werden und dann dort Monero-Miner ausführen können. Dazu werden die CPU-Ressourcen der ahnungslosen Website-Besucher' ausgenutzt.

Einige Beispiele aus der Praxis:

  • Im September 2017 berichtete Bleeping Computer, dass die Entwickler von SafeBrowse, eine Chrome-Erweiterung mit mehr als 140.000 Benutzern, das Coinhive-Skript in den Code der Erweiterung' eingebettet hatten. Dadurch konnte der Computer der Benutzer 'ohne deren Wissen und Zustimmung für das Schürfen von Monero verwendet werden.
  • Mitte September 2017 beschwerten sich Reddit-Benutzer, dass die CPU-Auslastung stark anstieg, wenn sie die beliebte Torrent-Website, The Pirate Bay (TPB), besuchten. Dies lag an einem Coinhive-Skript', das in die Fußzeile der Website' eingebettet worden war. Laut der TPB-Betreiber war es probeweise implementiert worden, um passiven Umsatz für die Website zu generieren (Abbildung 8).
  • Im Dezember 2017 berichteten Sucuri-Experten, dass ein Coinhive-Skript auf GitHub.io gehostet werde, mit dem Benutzer Webseiten direkt aus den GitHub-Repositorys veröffentlichen könnten.
  • Außerdem wurde ein Coinhive-Skript in der Showtime-Domain und auf der LA Times-Website gemeldet, die beide fortlaufend Monero schürften.
  • Die meisten Krypto-Jacking-Aktivitäten in Browsern sind nur vorübergehend aktiv und werden beendet, wenn der Benutzer seinen Webbrowser schließt. Doch Malwarebytes Labs-Experten fanden eine Technik, mit der auch nach dem Schließen des Browserfensters das Mining fortgesetzt werden konnte. Dazu wird ein Pop-under-Fenster unter der Taskleiste verborgen. Die Experten stellten fest, dass das Schließen des Browserfensters allein nicht ausreichte, um die Aktivität zu beenden. Stattdessen mussten komplexere Vorgänge, unter anderem im Task-Manager, ausgeführt werden.


Abbildung 8: Hinweis der TPB-Betreiber zum Coinhive-Skript

Malvertising und Exploit-Kits

Mit Malvertising, dem Veröffentlichen schädlicher Werbeanzeigen auf legitimen Websites, werden Website-Besucher in der Regel auf die Landing-Page eines Exploit-Kits weitergeleitet. Dort wird das jeweilige System auf Sicherheitslücken untersucht, es werden Schwachstellen ausgenutzt und Schadcode wird auf das System heruntergeladen und dort ausgeführt. Diese schädlichen Werbeanzeigen können auf legitimen Websites platziert werden. Die Geräte der Besucher werden mit dem Schadcode infiziert, auch ohne Benutzeraktivitäten. Diese Methode wird von Hackern vor allem eingesetzt, um Malware möglichst weit zu verbreiten. Sie wurde auch schon für verschiedene Krypto-Mining-Prozesse genutzt.

Einige Beispiele aus der Praxis:

  • Anfang 2018 berichteten Trend Micro-Experten, dass ein modifiziertes Miner-Skript über die Google-Anzeigenplattform' DoubleClick auf YouTube verbreitet wurde. Das Skript gab eine Zufallszahl zwischen 1 und 100 aus. Lag diese Zahl über 10, wurde das Coinhive-Skript coinhive.min.js gestartet, das 80 Prozent der CPU-Leistung für das Monero-Mining abzweigte. Lag die Zahl unter 10, wurde ein modifiziertes Coinhive-Skript gestartet, das ebenfalls 80 Prozent der CPU-Leistung für das Schürfen von Monero nutzte. Dieser benutzerdefinierte Miner war mit dem Mining-Pool wss[:]//ws[.]l33tsite[.]info:8443 verbunden, vermutlich um die Coinhive-Gebühren' zu umgehen.
  • Im April 2018 entdeckten Experten von Trend Micro außerdem auf Coinhive basierenden JavaScript-Code, der in eine AOL-Anzeigenplattform eingebettet worden war. Der Miner nutzte die privaten Mining-Pools wss[:]//wsX[.]www.datasecu[.]download/proxy und wss[:]//www[.]jqcdn[.]download:8893/proxy. Eine Untersuchung weiterer Websites, die von dieser Kampagne betroffen waren, ergab, dass in einigen Fällen die schädlichen Inhalte in nicht gesicherten AWS S3-Buckets gehostet wurden.
  • Seit dem 16. Juli 2017 hat FireEye beobachtet, wie das Neptune-Exploit-Kit Weiterleitungen zu Anzeigen für Bergwandervereine und Domains für die MP3-Umwandlung ausnutzt. Der Schadcode bei Letzteren umfasst Monero-CPU-Miner, die heimlich auf den Computern der Opfer' installiert werden.
  • Im Januar 2018 entdeckten Check Point-Experten eine Malvertising-Kampagne, die zum Rig-Exploit-Kit führte, das den XMRig-Monero-Miner bei ahnungslosen Benutzern installierte.

Krypto-Jacking auf Mobilgeräten

Die Hacker haben nicht nur Unternehmensserver und Computer im Visier, sondern nutzen auch gezielt Mobilgeräte für das Krypto-Jacking. Diese Technik ist allerdings noch nicht so verbreitet, vermutlich, weil Mobilgeräte über geringere Rechenressourcen verfügen. Dennoch ist das Krypto-Jacking auf Mobilgeräten eine Gefahr, da der lang anhaltende Energieverbrauch das Gerät beschädigen und die Akkulaufzeit drastisch verkürzen kann. Mobilgeräte werden über schädliche Krypto-Jacking-Apps in beliebten App-Stores und über Drive-by-Malvertising-Kampagnen erreicht, die die Benutzer mobiler Browser identifizieren.

Einige Beispiele aus der Praxis:

  • 2014 entdeckte FireEye iSIGHT Intelligence mehrere Android-Malware-Apps, die Kryptowährung schürfen konnten:
    • Im März 2014 wurde die Android-Malware "CoinKrypt" für die Kryptowährungen Litecoin, Dogecoin und CasinoCoin entdeckt.
    • Im März 2014 wurde außerdem die Android-Malware "Android.Trojan.MuchSad.A" oder" ANDROIDOS_KAGECOIN.HBT" entdeckt, die für Bitcoin, Litecoin und Dogecoin eingesetzt wurde. Die Malware war als Kopie beliebter Anwendungen getarnt, darunter "Football Manager Handheld" und "TuneIn Radio." Varianten dieser Malware wurden von Millionen Google Play-Benutzern heruntergeladen.
    • Im April 2014 wurde die Android-Malware "BadLepricon" identifiziert, die Bitcoin schürfte. Diese Malware war mit Anwendungen für Bildschirmhintergründe im Google Play Store verknüpft worden. Einige dieser Apps wurden 100 bis 500 Mal heruntergeladen, bevor sie entfernt wurden.
    • Im Oktober 2014 wurde in China eine mobile Malware-Art namens "Android Slave" beobachtet. Sie konnte für mehrere virtuelle Währungen eingesetzt werden.
  • Im Dezember 2017 berichteten Kaspersky Labs-Experten von einer neuen, vielseitigen Android-Malware, die mehrere Aktionen ausführen konnte, darunter auch Krypto-Mining und DDoS-Angriffe. Die Ressourcenbelastung ist dabei so groß, dass der Akku überlastet und das Gerät zerstört wird. Diese Malware, Loapi, verfügt über ein einzigartiges Spektrum an Aktionen. Sie besteht aus einem kombinierbaren Framework, das Module für Malvertising, schädliche SMS, Web-Crawling, Monero-Minig und andere Aktivitäten umfasst. Es wird vermutet, dass hinter Loapi dieselben Entwickler stecken, die 2015 die Android-Malware Podec veröffentlichten. Loapi wird meist als Antiviren-App getarnt.
  • Im Januar 2018 veröffentlichte SophosLabs einen detaillierten Bericht zu 19 mobilen Apps, die auf Google Play gehostet wurden und eingebetteten Coinhive-basierten Krypto-Jacking-Code enthielten. Einige dieser Apps wurden zwischen 100.000 und 500.000 Mal heruntergeladen.
  • Zwischen November 2017 und Januar 2018 beobachteten Malwarebytes Labs-Experten eine Drive-by-Krypto-Jacking-Kampagne für Monero, die Millionen mobile Browser unter Android ausnutzte.

Spam-Kampagnen für Krypto-Jacking

FireEye iSIGHT Intelligence hat beobachtet, dass mehrere Krypto-Miner über Spam-Kampagnen verbreitet wurden. Das ist eine übliche Methode für die Verbreitung von Malware. Solange Krypto-Mining rentabel ist, gehen wir davon aus, dass Hacker auch weiterhin auf diese Weise Krypto-Jacking-Code verbreiten werden.

Ende November 2017 identifizierten FireEye-Experten eine Spam-Kampagne, die schädliche PDF-Anhänge verbreitete. Diese ähnelten legitimen Rechnungen des größten Hafens und Containerterminals in Neuseeland: Lyttelton Port of Christchurch (Abbildung 9). Beim Öffnen der PDF wurde ein PowerShell-Skript gestartet, das einen Monero-Miner von einem Remote-Host herunterlud. Der schädliche Miner stellte eine Verbindung zu den Pools supportxmr.com und nanopool.org her.


Abbildung 9: Beispiel für einen Phishing-Anhang (PDF), über den der schädliche Krypto-Miner heruntergeladen wurde

Außerdem deckten die FireEye-Experten im Januar 2018 eine umfangreiche Spam-Kampagne für Krypto-Jacking auf, deren E-Mails denen eines legitimen Finanzdienstleisters ähnelten. Mithilfe der Spam-E-Mails wurden die Opfer auf einen Link weitergeleitet, über den eine schädliche ZIP-Datei auf ihren Computer' heruntergeladen wurde. Diese ZIP-Datei enthielt einen Krypto-Miner (MD5: 80b8a2d705d5b21718a6e6efe531d493), der für das Schürfen von Monero und die Herstellung einer Verbindung zum minergate.com-Pool konfiguriert worden war. Die Spam-E-Mails und die ZIP-Dateinamen unterschieden sich zwar, aber in allen beobachteten Fällen wurde derselbe Krypto-Miner verwendet (Tabelle 2).

Namen der ZIP-Dateien

california_540_tax_form_2013_instructions.exe

state_bank_of_india_money_transfer_agency.exe

format_transfer_sms_banking_bni_ke_bca.exe

confirmation_receipt_letter_sample.exe

sbi_online_apply_2015_po.exe

estimated_tax_payment_coupon_irs.exe

how_to_add_a_non_us_bank_account_to_paypal.exe

western_union_money_transfer_from_uk_to_bangladesh.exe

can_i_transfer_money_from_bank_of_ireland_to_aib_online.exe

how_to_open_a_business_bank_account_with_bad_credit_history.exe

apply_for_sbi_credit_card_online.exe

list_of_lucky_winners_in_dda_housing_scheme_2014.exe

Tabelle 2: Beispiele der ZIP-Dateien, die für die Verbreitung des Krypto-Miners verwendet wurden

Krypto-Jacking-Würmer

Nach den WannaCry-Angriffen begannen Hacker zunehmend, Funktionen für die eigenständige Verbreitung in ihre Malware einzubinden. Dazu gehörten das Kopieren auf Wechseldatenträger, SSH-Anmeldung per Brute-Force-Angriff und Ausnutzung des offengelegten NSA-Exploits EternalBlue. Das Krypto-Mining profitiert enorm von dieser Funktion, da mit einer größeren Verbreitung der Malware auch die Anzahl der CPU-Ressourcen zunimmt, die für das Mining genutzt werden können. Daher erwarten wir, dass auch andere Angreifer diese Funktion für ihre Zwecke nutzen werden.

Einige Beispiele aus der Praxis:

  • Im Mai 2017 berichtete Proofpoint von einer groß angelegten Kampagne, mit der die Malware "Adylkuzz verbreitet wurde." Dieser Krypto-Miner nutzte das EternalBlue-Exploit, um sich rasant in Unternehmens-LANs und -WLANs auszubreiten. Adylkuzz wurde über die DoublePulsar-Backdoor heruntergeladen und erstellte Botnets auf Windows-Computern, um Monero zu schürfen.
  • Im April 2018 identifizierten Sensors-Sicherheitsexperten einen Monero-Miner-Wurm," Rarogminer" genannt, der sich selbst auf einen Wechseldatenträger kopierte, sobald ein Benutzer ein Flash-Laufwerk oder eine externe Festplatte anschloss.
  • Im Januar 2018 entdeckten F5-Experten ein neues Monero-Krypto-Mining-Botnet, das auf Linux-Computer ausgerichtet war. PyCryptoMiner basiert auf einem Python-Skript und wird über das SSH-Protokoll verbreitet. Der Bot kann auch Pastebin für seine C2-Infrastruktur (Command and Control) verwenden. Die Malware breitet sich aus, indem sie versucht, die SSH-Anmeldedaten der jeweiligen Linux-Systeme zu erraten. Anschließend implementiert der Bot ein einfaches, mit Base64 verschlüsseltes Python-Skript, das eine Verbindung zum C2-Server herstellt und den schädlicheren Python Code herunterlädt und ausführt.

Verschleierungsmethoden

Ein weiterer wichtiger Trend ist der Einsatz von Proxys, um unerkannt zu bleiben. Die Implementierung von Mining-Proxys ist für Cyberkriminelle besonders interessant, da sie auf diese Weise die Entwickler- und Vermittlungsgebühr von mindestens 30 Prozent umgehen. Wenn sie bekannte Krypto-Jacking-Services wie Coinhive, Cryptloot und Deepminer umgehen und stattdessen Krypto-Jacking-Skripte in einer vom Angreifer kontrollierten Infrastruktur hosten, wird es auch schwieriger, diese Aktivitäten über Blacklists für Domains oder Dateinamen zu blockieren.

Im März 2018 berichtete Bleeping Computer vom Einsatz von Krypto-Jacking-Proxyservern und stellte fest, dass mit deren Zunahme die Effizienz von Ad-Blockern und Browsererweiterungen, die auf Blacklists vertrauten, stark nachließ.

Auf GitHub sind verschiedene Mining-Proxy-Tools verfügbar, zum Beispiel XMRig Proxy, der die Anzahl der aktiven Pool-Verbindungen deutlich reduziert, und CoinHive Stratum Mining Proxy, der über die JavaScript-Mining-Bibliothek von Coinhive eine Alternative zu den offiziellen Coinhive-Skripten und zur -Infrastruktur bietet.

Zusätzlich zu den Proxys entwickeln und hosten einige Angreifer auch eigene Miner-Apps, entweder auf privaten Servern oder auf cloudbasierten Servern, die Node.js unterstützen. Auch wenn private Server im Vergleich zu kommerziellen Mining-Services einige Vorteile bieten, können sie dennoch recht einfach auf eine Blacklist gesetzt werden und erfordern einen höheren Administrationsaufwand der Angreifer. Sucuri-Experten fanden heraus, dass cloudbasierte Server Angreifern, die ihre Mining-Anwendungen selbst hosten möchten, zahlreiche Vorteile bieten. Dazu gehören unter anderem:

  • Kostenlose Nutzung (oder nur zum geringen Preis)
  • Keine Wartung, nur Hochladen der Krypto-Miner-App
  • Schwieriger zu blockieren, da durch das Blacklisting der Hostadresse auch legitimer Datenverkehr verhindert würde
  • Vor endgültiger Zerschlagung geschützt, da einfach neue Host-Konten für die einmalige Verwendung erstellt werden können

Die Kombination aus Proxys und Krypto-Minern in von Angreifern kontrollierten Cloud-Infrastrukturen erschwert die Aufgabe der Sicherheitsexperten, da es dadurch noch schwieriger ist, Krypto-Jacking zu erkennen und zu unterbinden.

Demografische Daten zu den Mining-Opfern

Den Ergebnissen der FireEye-Technologien zur Bedrohungserkennung zufolge wurde seit Anfang 2018 immer mehr Krypto-Mining-Malware erfasst (Abbildung 10). Die bekanntesten Mining-Pools sind minergate und nanopool (Abbildung 11), von den Angriffen am stärksten betroffen sind die USA (Abbildung 12). Wie auch in anderen Berichten festgestellt, verzeichnet der Bildungssektor weiterhin die meisten Angriffe, vermutlich aufgrund der weniger strikten Sicherheitsmaßnahmen in Universitätsnetzwerken und da Studenten die kostenlosen Stromquellen für das Schürfen von Kryptowährungen nutzen (Abbildung 13).


Abbildung 10: Erfasste Krypto-Miner-Aktivitäten pro Monat


Abbildung 11: Häufig beobachtete Pools und damit verbundene Ports


Abbildung 12: Top 10 der am häufigsten angegriffenen Länder


Abbildung 13: Top 5 der am häufigsten angegriffenen Branchen


Abbildung 14: Die am häufigsten angegriffenen Branchen nach Land

Abwehrmaßnahmen

Unverschlüsselte Stratum-Sitzungen

Laut der Sicherheitsexperten von Cato Networks kann ein Miner sich nur am Pool-Mining beteiligen, wenn der infizierte Computer nativen oder JavaScript-basierten Code ausführt, der das Stratum-Protokoll über TCP oder HTTP/S verwendet. Das Stratum-Protokoll verwendet eine Publish/Subscribe-Architektur, in der Clients Abonnementanfragen zur Teilnahme an einem Pool schicken (subscribe) und Server Nachrichten an die Abonnenten senden (publish). Bei den Nachrichten handelt es sich um einfache, lesbare JSON-RPC-Nachrichten. Abonnementanfragen enthalten die folgenden Parameter: „id“, „method“ und „params“ (Abbildung 15). Eine DPI-Engine (Deep Packet Inspection) kann für die Suche nach diesen Parametern konfiguriert werden, um Stratum über unverschlüsseltes TCP zu blockieren.


Abbildung 15: Parameter einer Stratum-Abonnementanfrage

Verschlüsselte Stratum-Sitzungen

Wenn JavaScript-basierte Miner Stratum über HTTPS ausführen, können sie nur schwer von DPI-Engines erkannt werden, die keinen TLS-Datenverkehr entschlüsseln. Um verschlüsselten Mining-Datenverkehr in einem Netzwerk abzuwehren, können Unternehmen die IP-Adressen und Domains bekannter Mining-Pools auf eine Blacklist setzen. Der Nachteil besteht in der Identifizierung und Aktualisierung der Blacklist, da die Erstellung und Pflege einer zuverlässigen und aktuellen Liste gängiger Mining-Pools äußerst schwierig und zeitaufwendig sein kann.

Browserbasierte Sitzungen

Die Identifizierung und Erkennung von Websites, auf denen Mining-Code eingebettet wurde, ist nicht immer einfach, da nicht alle Skripte von Website-Publishern autorisiert werden, zum Beispiel bei einer kompromittierten Website. Doch auch wenn die Skripte vom Website-Inhaber autorisiert wurden, werden Besucher der Website nicht immer darüber informiert.

Es werden zwar neue Abwehrmaßnahmen entwickelt, um nicht autorisiertes Mining zu verhindern, aber auch die Angreifer werden ihre Techniken ausbauen. Das Blockieren einiger der häufigsten Indikatoren, die wir bisher beobachtet haben, sollte aber einen Großteil der von Benutzern gemeldeten, CPU-belastenden Mining-Aktivitäten unterbinden. Zu den allgemeinen Erkennungsmaßnahmen für browserbasiertes Krypto-Mining gehören:

  • Blockieren von Domains, die bekanntermaßen Mining-Skripte gehostet haben
  • Blockieren von Websites bekannter Mining-Projekte wie Coinhive
  • Blockieren aller Skripte
  • Verwenden eines Ad-Blockers oder Mining-spezifischer Browser-Add-ons
  • Erfassen bekannter Namenskonventionen
  • Erfassen und Blockieren von Datenverkehr zu bekannten Mining-Pools

Einige dieser Strategien eignen sich eventuell auch zum Blockieren bestimmter Mining-Funktionen, die in vorhandener Finanz-Malware und in Mining-spezifischen Malware-Gruppen eingebunden sind.

Wir möchten aber darauf hinweisen, dass der in Krypto-Jacking-Aktivitäten verwendete JavaScript-Code nicht den Zugriff auf Dateien auf der Festplatte ermöglicht. Sollte ein Host jedoch versehentlich eine Website mit Mining-Skripten aufrufen, empfehlen wir, den Cache zu leeren und auch andere Browserdaten zu löschen.

Prognosen

In Untergrund-Communitys und auf entsprechenden Websites zeigt sich reges Interesse an Krypto-Jacking und Sicherheitsexperten haben bereits zahlreiche Kampagnen beobachtet und gemeldet. Diese Entwicklung stützt die These, dass Angreifer zunehmend Krypto-Mining einsetzen. Wir gehen davon aus, dass diese Taktiken 2018 weiterhin eine hohe Priorität haben werden. Angreifer bevorzugen schädliches Krypto-Mining eventuell, weil sie damit weniger die Aufmerksamkeit von Strafverfolgungsbehörden auf sich ziehen als dies mit anderen Formen des Betrugs oder Diebstahls der Fall ist. Auch die Opfer bemerken häufig nur eine Verlangsamung der Systemleistung und realisieren nicht, dass ihr Computer infiziert wurde.

Viele Cyberkriminelle entscheiden sich aufgrund des starken Fokus auf die Privatsphäre bzw. Anonymität und der Rentabilität des CPU-Mining für Monero. Wir gehen davon aus, dass diese Entwicklung anhalten wird, 'solange die Monero-Blockchain die Standards in Bezug auf die Privatsphäre bzw. Anonymität beibehält und anwendungsspezifische industrielle Steuersysteme meidet. Sollte Monero in Zukunft weniger strikte Sicherheits- und Privatsphärestandards einsetzen, werden die Angreifer sich mit hoher Wahrscheinlichkeit anderen Währungen zuwenden.

Aufgrund der Anonymität um Monero und bei elektronischen Kryptowährungskonten sowie der Verfügbarkeit zahlreicher Kryptobörsen und Services für Geldwäsche bei Kryptowährungen stellt die Aufdeckung und Zuordnung schädlicher Krypto-Mining-Aktivitäten für Behörden eine erhebliche Herausforderung dar. Angreifer bleiben daher meist unbekannt. Cyberkriminelle werden sich zweifellos weiterhin für schädliches Krypto-Mining interessieren, solange es rentabel und relativ risikolos ist.