Thought Leadership
Ein Trend, der rund um die Kryptowährungen Bitcoin, Ethereum und Co. immer weiter zunimmt, ist Coin-Mining. Auch Cyberkriminelle versuchen immer wieder Schwachstellen auf Websites zu identifizieren, bösartigen JavaScript-Code einzubauen oder gar Mining-Programme in Werbe- oder Unternehmensnetzwerke zu schleusen. Ein Interview mit Luke Somerville, Head of Special Investigations bei Forcepoint.
Was steckt hinter Coin- oder In-Browser-Mining?
Luke Somerville: Coin-Mining ist das neue Goldschürfen: Als sogenannter Miner verdienen User virtuelles Geld (zum Beispiel Bitcoin oder Monero) dafür, dass Sie Ihre Rechnerleistung zur Verfügung stellen. Grundlage der Kryptowährungen ist dabei die Blockchain. Bei Kryptowährungen werden Transaktionen in Blöcke zusammengefasst. Jeder Block hat einen Hashwert, eine Art Prüfsumme, der die Hashwerte der einzelnen Transaktionen enthält, sowie den Hashwert des vorigen Blocks. Miner fungieren hier als Rechnungsprüfer. Sie bestätigen die Korrektheit der Transaktionen. Dafür gibt es eine Belohnung: Neue Coins oder einen Teil der Transaktionsgebühren. Dies benötigt aber auch entsprechend viel Rechenleistung. Bitcoin beispielsweise benötigt spezialisierte Hardware, während Consumer-PCs sich gut für das „Schürfen“ von Monero eignen.
Wer betreibt Coin-Mining?
Luke Somerville: Coin-Miner reichen von Einzelpersonen, die aus Ihren eigenen vier Wänden operieren, bis hin zu riesigen Coin-Mining-Pools mit eigenen Rechenzentren. Prinzipiell kann auch jeder unfreiwillig zu einem Miner werden, denn Mining Malware ist inzwischen weit verbreitet, von bösartigen E-Mails bis hin zu gefälschten Browser-Plugins und kompromittierten Websites, die Coin-Mining betreiben. User besuchen beispielsweise eine Website und stellen dabei ungewollt den eigenen Rechner zum Erzeugen von Kryptowährung zur Verfügung.
Ist Coin-Mining damit Malware?
Luke Somerville: Das ist umstritten: Auch Coin-Miner mit einem „kriminellen Motiv“ versuchen normalerweise nicht, Daten zu stehlen oder Computer zu sperren bzw. User zu erpressen. Stattdessen nutzen sie die Rechenleistung fremder Computer, was sich beim Endnutzer beispielsweise in Form von erhöhten Stromrechnungen bemerkbar macht. Forcepoint betrachtet In-Browser-Mining-Anwendungen daher als potenziell unerwünschte Software. Wir beziehen aber auch den Kontext mit ein. So gibt es natürlich auch legitime Anwendungen für Coin-Mining. Die populäre US-amerikanische Nachrichtenseite salon.com etwa experimentierte mit Zustimmung der User damit, Coin-Mining auch als Alternative für Werbung anzubieten.
Wo sind die Schwachstellen? Wie werden diese von Cyberkriminellen missbraucht?
Luke Somerville: Beim In-Browser-Mining sind die Schwachstellen ähnlich wie bei jedem anderen Web-Injection-Angriff: Auf Websites, auf denen älterer, anfälliger Code ausgeführt wird, werden Skripte injiziert, die auf Exploits und andere bösartige „Staging“-Methoden für Malware umleiten. In diesem Fall injizieren die Angreifer einfach Code, der sich auf ein Mining-Skript und nicht auf einen Exploit bezieht.
Wie kann man sich davor schützen?
Luke Somerville: Coin-Mining Malware wird in der Regel durch dieselben Mechanismen aufgedeckt, die auch für andere gängige Arten von Malware verwendet werden. Als solche werden diese Angriffe von Produkten wie Forcepoint Email Security, Web Security und NGFW erkannt und blockiert.
Beim In-Browser-Mining verfolgt Forcepoint einen kombinatorischen Ansatz zur Erkennung und Blockierung von Mining-Skripten auf kompromittierten Websites. Da In-Browser-Miner auf Webstandards für die Kommunikation angewiesen sind, können wir sowohl die bösartigen Mining-Skripte identifizieren, als auch – was noch wichtiger ist – die WebSocket-Befehls-/Relais-Server blockieren und so verhindern, dass auch andere Miner, die auf dieselben Server angewiesen sind, eine mögliche Schwachstelle nutzen.
