Unerwünschtes Crypto-Mining

Cryptojacking erkennen und stoppen

| Autor / Redakteur: Ross Brewer / Peter Schmitz

Crypto-Mining durch Mitarbeiter oder Cyberkriminelle schadet Unternehmen aufgrund der so verursachten hohen CPU-Last durch erhöhte Energiekosten und verkürzte Lebensdauer der Hardware.
Crypto-Mining durch Mitarbeiter oder Cyberkriminelle schadet Unternehmen aufgrund der so verursachten hohen CPU-Last durch erhöhte Energiekosten und verkürzte Lebensdauer der Hardware. (Bild: Pixabay / CC0)

Kaum ein Thema beschäftigt aktive Computer­anwender derzeit so stark wie die Krypto­währungen Bitcoin & Co. Gerade die enormen Kurschwankungen wecken bei vielen Menschen den Wunsch, von diesen digitalen Währungen zu profitieren. Und immer häufiger werden für das Schürfen des digitalen Goldes auch Unternehmensressourcen verwendet - ohne Erlaubnis, dafür aber mit durchaus erwähnenswerten Risiken.

Kryptowährungen samt der Blockchain-Technologie werden uns in den nächsten Jahren nachhaltig beschäftigen. Zwar weisen Kritiker auf die negativen Verwendungszwecke wie Ransomware, den Handel mit illegalen Gütern oder die Geldwäsche hin. Aber es gibt auch viele positive Anwendungen von Kryptowährungen, denn sie bereiten den Weg für eine neue Ära des globalen Handels ohne die Einschränkungen durch zentrale Regulierungsstellen.

Aktuell suchen viele Anwender nach Möglichkeiten, vorhandene Hardware für das Mining zu nutzen. Normalerweise ist dieses Schürfen jedoch langwierig, nicht profitabel und birgt das Risiko, dass die Hardware Schaden nimmt. Das ruft die Anbieter von Tools auf den Plan, die den Einstieg in das Mining erleichtern sollen. Beispiele sind CCminer oder RapidMiner.

Keine Frage, es ist völlig legitim, eigene Hardware zu benutzen, um Kryptowährungen zu schürfen. Viele Anwender versuchen jedoch, Unternehmensressourcen einzusetzen, um ihr Bergbauimperium auszubauen, was diverse Risiken bergen kann. Glücklicherweise sind diese Aktivitäten leicht zu erkennen und zu blockieren. So wird ein Großteil der Mining-Anwendungen von Antiviren-Lösungen als schädlich eingestuft. Selbst wenn Mining-Anwendungen nicht blockiert werden, relativiert sich die Gefahr. Denn für das Schürfen sind Mining-Pools notwendig, die normalerweise exotische Ports wie 3333 nutzen, die in den meisten Organisationen blockiert sind.

Passive Ausführung von Anwendungen für das Crypto-Mining

Ganz so einfach ist die Risikovermeidung im Firmennetzwerk allerdings nicht. Denn es gibt Möglichkeiten, Crypto-Mining-Anwendungen so auszuführen, dass sie unbemerkt bleiben. Verschiedene Anbieter wie Coinhive, CoinImp oder Coinpot erlauben das Mining ganz einfach über den Besuch einer Website.

Diese Services versprechen keine hohe Rendite, und ein Teil des Mining-Ergebnisses geht an den übergeordneten Bereitsteller des Skripts. Andererseits bieten sie eine schnelle und einfache Möglichkeit, Kryptowährung zu schürfen, ohne dass Software auf dem ausführenden System installiert werden muss. Besonders verlockend bei diesen Services ist es also, eine große Anzahl von Systemen parallel für den eigenen Gewinn einzusetzen.

Platzhirsch bei den Web-Angeboten für das Crypto-Mining ist Coinhive. Dieser Service ist über ein schnelles und einfaches JavaScript realisiert, das sich auch in bestehende Websites und Werbeschaltungen einbinden lässt, sodass der Miner im Laufe der Zeit durchaus davon profitieren kann. Grundsätzlich ist es zwar möglich, Website-Besucher darüber zu informieren, dass dies geschieht, häufig werden die Services aber auch ohne Hinweis passiv im Hintergrund ausgeführt, um die Gewinne zu maximieren. Diese Methode der passiv laufenden Crypto-Mining-Anwendungen wird als Cryptojacking bezeichnet.

Solche Hintergrundaktivitäten beeinflussen die Energiekosten und können die Funktionalität der Hardware aufgrund einer hohen CPU-Last deutlich einschränken. Allerdings ist eine Erkennung dieser Aktivitäten recht einfach. So übernehmen es Browser-Add-ons wie uBlock Origin, standardmäßig einen Großteil der Crypto-Miner zu blockieren. Auch verursachen Mining-Skripts, die im Browser gestartet werden, Auslastungs-Peaks. Mit Netzwerkmonitoren wie dem LogRhythm NetMon ist es daher einfach, Domain-Regeln und ein entsprechendes Monitoring einzusetzen, um zu sehen, wer Crypto-Mining-Websites aufruft.

Einsatzszenario: Cryptojacking entdecken

Prinzipiell sind wir bei LogRhythm davon überzeugt, dass die Ausführung von Crypto-Minern auf einer Website weniger gefährlich ist als die Einblendung von Werbung. Denn immer häufiger werden digitale Anzeigen dazu genutzt, Malware zu verbreiten. Daher blockierte LogRhythm lange keine bekannten Miner-Sites - bis sie zum Problem wurden.

Und das ist passiert: Es wurde festgestellt, dass einige Systeme ständig Traffic zu Coinhive schickten. Normalerweise ist dies kein Grund zur Beunruhigung. In diesem Fall handelte es sich allerdings um eine konsistente, rund um die Uhr stattfindende Mining-Aktivität über einige Endbenutzersysteme, einen Entwicklungsserver und ein privates System, das im Gastnetzwerk registriert war.

Zusätzlich zu den Warnungen, die durch das SIEM generiert wurden, als der Traffic zu Coinhive zunahm, wurden von betroffenen Anwendern Tickets an den IT-Support eingereicht, da ihre Systeme deutliche Leistungseinbußen zeigten und die Kühlventilatoren der Computer ständig arbeiten. Eine Untersuchung der Hosts mit Carbon Black Response ergab, dass der Internet Explorer als Hintergrundprozess ausgeführt wurde.

Daraufhin wurde die Base64-codierte PowerShell decodiert und festgestellt, dass diese den Internet Explorer im Headless-Modus startete. Der Code wurde wahrscheinlich aus dem Beispiel CrypoCureenityPowerShell von Rvrsh3ll entnommen und komprimiert.

Den Schuldigen identifizieren

Während der Untersuchung wurden die Alarme zur codierten PowerShell von zusätzlichen Systemen gesendet. In allen Fällen wurde derselbe Mining-Schlüssel verwendet, und zwar vom selben Benutzer. Einzige Ausnahme waren Endbenutzer-Laptops.

Die Kontrolle über LogRhythm CloudAI ergab, dass für den Anwender, der hinter diesen Aktivitäten stand, über den gesamten relevanten Zeitraum deutliche Abweichungen vom Normverhalten im Netzwerk verzeichnet wurden.

Entsprechend wurden seine Authentifizierungsaktivitäten überprüft und einige Entwicklungsserver eruiert, auf denen PsExec und Remote Desktop zum Starten des PowerShell-Skripts auf anderen Hosts verwendet wurde, sodass der Angreifer Zugang zum Entwicklungs-VLAN hatte. Bei den Laptops wurden die Kameraaufzeichnungen und Endpunkt-Logs für den Zeitraum überprüft, in dem die Skripts erkannt wurden. Es wurde dadurch festgestellt, dass der Angreifer ein Human-Interface-Gerät (HID) via USB eingesetzt hatte, um das Skript auszuführen, wenn die Mitarbeiter zwar ihren Arbeitsplatz verlassen, ihre Systeme aber nicht gesperrt hatten.

Alles in allem handelte es sich um ein vergleichsweise einfaches, durch einen Insider verursachtes Bedrohungsszenario, das leicht erkenn- und eliminierbar war, bevor dem Unternehmen größerer Schaden entstand. Allerdings zeigt dieses Beispiel auch, dass exakte Analysen des Verhaltens von Nutzern sowie Systemen (User Entity and Behavior Analytics; UBA) über das gesamte Unternehmensnetz hinweg notwendig sind, um potenzielle Bedrohungen, die in vielen Formen und Größen auftreten können, zeitnah zu erkennen.

Ein Tipp: Zur Erkennung und Blockierung von Mining-Aktivitäten empfehlen sich die von ZeroDot1 entwickelten CoinBlockerLists. Diese lassen sich in das SIEM und den Network Monitor integrieren, um die Transparenz im Netzwerk zu erhöhen.

Über den Autor

Ross Brewer ist Vice President und Managing Director EMEA bei LogRhythm.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45362086 / Bedrohungen und Attacken)