Thought Leadership
Cryptowährungen waren eines der größten Themen des Jahres 2017. Beim Höchststand von mehr als 19 Dollar pro Einheit war Bitcoin als Zahlungsmittel bei Cyberkriminellen sehr beliebt, insbesondere im Zusammenspiel mit Ransomware.
Seitdem erfreut sich Cyberwährung auch bei Verbrauchern für legale Zwecke und zur Geldanlage immer größerer Beliebtheit. Der steigende Kurs lockt immer mehr Cyberkriminelle an, die neue Methoden entwickeln, um alternative Cryptowährungen wie etwa Monero abzubauen, in der Hoffnung, dass sie ebenso populär und profitabel werden wie Bitcoin. Neben Lösegeldzahlungen gibt es eben weitere kriminelle Methoden, um an Cryptowährungen zu gelangen.
Das perfekte Beispiel für das Mining von Cryptowährung ist CoinHive, ein JavaScript basierender Mining-Client, der die Verwendung von Browsern zum Minen von Cryptowährung ermöglicht. Die Methode nutzt CPUs, anstelle von GPUs, und benötigt daher keinen Client auf dem Computer selbst. Denn das Mining findet im Browser statt. Der Cryptominer wird als JavaScript präsentiert und ist deshalb einfach zu installieren, für die IT-Security unauffällig und arbeitet scheinbar vollkommen legitim, oft sogar mit ausdrücklicher Genehmigung der arglosen Web-Nutzer.
Auch Besitzer von Webseiten setzten das Verfahren gelegentlich ein, als alternative Einkommensquellen zu den kargen Anzeigen-Einnahmen. Kriminelle nutzen browserbasiertes Cryptomining, um Rechenleistung von Opfern zu stehlen, die legitime Websites mit böswillig eingefügtem Cryptomining-Skript besuchten.
Vom Ärgernis zur Bedrohung
Zu Beginn konzentrierten sich Cyberkriminelle also darauf, arglose Besucher auf infizierte Webseiten zu lotsen und bis zu 100 Prozent ihrer CPU-Leistung für Cryptomining zu nutzen. Dieses oft kriminelle Modell hatte jedoch einen Haken: Mit zunehmender Dauer wird beim Cryptomining für den Abbau immer mehr CPU-Leistung benötigt. Sich mit den geringen Rechenleistungen von Otto-Normalverbraucher zu begnügen, war auf die Dauer nicht dafür geeignet, schnell Kasse zu machen. Der nächste logische Schritt für die Kriminellen ist somit, sich weniger auf Endnutzer und mehr auf Organisationen mit großen Rechenzentren und entsprechend hoher Rechenleistung zu konzentrieren.
Da Rechenzentren im Allgemeinen besser gemonitort sind als die Endpoints von Anwendern, zwacken die Kriminellen in Rechnungszentren weniger CPU-Leistung ab, im Allgemeinen nur 70 bis 80 Prozent. So fliegen sie meist unter dem Radar der IT-Sicherheit und lösen keinen Alarm aus. Geschickt ausgeführt, kann ein Cryptojacking-Hack in einem Rechenzentrum mit automatischer Bereitstellung monatelang unentdeckt bleiben und mehrere Millionen Euro an Cryptowährung für die Kriminellen generieren.
Was beim Endnutzer nur eine relative triviale Ausnutzung von XSS oder nicht gepatchter Schwachstellen in gängigen CMS-Plattformen war, ist in Rechenzentren natürlich deutlich komplizierter und mit fortgeschrittenen Hack-Techniken verbunden. Kriminelle nutzen jedoch alle Möglichkeiten, um die Sicherheit im Rechenzentrum zu unterwandern und Rechenleistung zu stehlen – von bekannten Exploits wie EternalBlue und dateiloser Malware bis hin zu augenscheinlich gutartigen Cryptojackern.
Dabei nutzen Kriminelle für Cryptojacking bereits bekannte Angriffstechniken, die ehemals für Datendiebstahl benutzt wurden. Das öffnet den Kriminellen die Möglichkeit, mit einem Angriff gleich mehrere Ziele zu erreichen und mehr Schaden als bisher anzurichten. So können in einem ersten Schritt Daten gestohlen werden und im zweiten Schritt Schadsoftware wie eben ein Cryptominer zurückgelassen werden, der dann über einen langen Zeitraum hinweg Einnahmen für die Kriminellen generiert.
Man könnte meinen, dass Cryptojacking an sich nicht bösartig ist, da es keinen sichtbaren Schaden anrichtet. Das ist natürlich nicht richtig, da CPU-Leistung Geld kostet – Investitions-, Wartungs- und Stromkosten – und die eingeschränkte produktiv nutzbare Performance zu Produktivitätseinbußen führen kann. Zudem kann neben dem Cryptojacking über die Schwachstelle auch weitere Malware eingeschleust werden. Es ist für jede Organisation also sehr wichtig, diese von Kriminellen genutzten toten Winkel aufzudecken.
Höhere Rechnungen vom IaaS-Anbieter
Erfolgreich betriebene Rechenzentren sind so konzipiert, dass die ihre Aufgabe bei möglichst geringen Investitions- und Betriebskosten erfüllen können. Cryptojacking gefährdet dieses Ziel, da es Leistung stiehlt, für fremde Zwecke nutzt und dadurch die Kosten erhöht. Besonders gefährdet sind Organisationen, die ihre Infrastruktur von einem IaaS-Anbieter nutzen, da deren Dienste meist automatisiert provisioniert werden. Im schlimmsten Fall wird die eingebaute Funktion zur Leistungsoptimierung sogar von den Kriminellen genutzt, um ihr Mining auf Kosten des Unternehmens sogar noch hochzuskalieren.
Beispielsweise können hoch virtualisierte Infrastrukturen, die VDIs oder Containerisierungstools verwenden, geändert werden. Sie setzen dann jedesmal Cryptomining-Software ein, wenn neue Instanzen bereitgestellt werden. Wenn es keine Baseline-Performance-Messung für neue und unveränderte Instanzen gibt, werden Unternehmen Schwierigkeiten haben, solche von Kriminellen in die Infrastruktur eingeschleustes Cryptomining-Tools überhaupt zu identifizieren. Oft erkennen diese Unternehmen erst, dass sie Opfer einer Cryptomining-Attacke sind, wenn sie prüfen, warum die monatlichen Rechnungen ihres IaaS-Anbieters deutlich höher ausfallen als in der Vergangenheit.
So sichert man Rechenzentren gegen Cryptojacking ab
Auch wenn Cryptojacking-Angriffe lange unentdeckt bleiben können, ist ihre Abwehr die gleiche, wie bei anderen Angriffen. Die beste Abwehrmethode besteht in einem vielschichtigen Sicherheitsansatz, der vor Advanced Attacks oder Persistent Attacks schützt. Die Erkennung von dateibasierten und dateilosen Cryptojackern erfordert eine moderne, mehrschichtige Sicherheit, die unter Nutzung von Machine Learning Bedrohungen in verschiedenen Phasen ihres Angriffs blockieren kann. Sowohl innerhalb des Rechenzentrums als auch auf Endgeräten. Auch Technologien für den Schutz von Storage, die Manipulationstechniken zur Ausnutzung von Schwachstellen identifizieren können, verhindern, dass Cryptojacking innerhalb des virtuellen Workloads eingesetzt werden kann.
Besonders wichtig sind Sicherheitstechnologien, die bösartige Skripte, zum Beispiel basierend auf PowerShell, CMD oder Wscript, vor ihrer Ausführung nicht nur erkennen, sondern unterbinden können. Diese Technologien sind in der Lage, die Angriffsstrategie auf verschiedenen Stufen zu verhindern. Eine der Technologien, die virtuelle Rechenzentren vor hochentwickelten Cryptojackern wie WannaMine schützen können, die die EternalBlue-Schwachstelle nutzt, ist Hypervisor Introspection. Sie blickt vom Hypervisor-Level direkt in den Arbeitsspeicher. Die Technologie verhindert, dass ein Angriff virtuelle Netzwerke erreicht, indem es Angriffsmuster von Zero-Day- oder erweiterte Kernel-Level-Exploits erkennt, die zur Durchdringung der Infrastruktur verwendet werden.
Mehrschichtige Sicherheit hilft
Cryptowährungen haben für Kriminelle viele Vorteile. Anders als normale Währungen lassen sie sich anonym besitzen, verkaufen und verschieben. Darüber hinaus gibt es zahlreiche Wege, Bitcoin und Co. kriminell zu minen, weshalb Cryptojacking sich in kriminellen Kreisen einer immer höheren Beliebtheit erfreut. Da Rechenzentren für Kriminelle profitablere Ziele sind als Privat-PCs, müssen sich Rechenzentrumsbetreiber adäquat vor dieser Bedrohung schützen. Nur moderne, vielschichtige NextGen-Security-Lösungen spannen ein so dichtes und mehrdimensionales Sicherheitsnetz, dass sich die Angreifer auch mit ihren ausgeklügeltsten Tools darin verfangen.
Liviu Arsene, Senior E-Threat Analyst, Bitdefender
