Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Krypro Miner STOPP

Krypto-Währungen haben sich von einem Phänomen hin zu einer nicht nur von Kriminellen gehandelten Ressource entwickelt. Für das Mining wird weltweit bereits die Mehrheit aller Rechenleistung aufgewendet. 

Und da die Währungen einen monetären Wert bieten, werden sie nicht nur legal durch Krypto-Mining, sondern auch illegal durch Krypto-Jacking errechnet. Unternehmen können sowohl von außen als auch von innen Ziel von illegalem Krypto-Jacking werden. Mit diesen Tipps können Unternehmen erkennen, ob ihre Infrastruktur illegal zum Mining von Krypto-Währungen genutzt wird.

Die Hälfte aller Infrastrukturen weltweit werden für Krypto-Mining genutzt

Krypto-Währungen, wie Bitcoin und Monero, werden durch den Einsatz von Rechenleistung zur Lösung komplexer mathematischer Probleme erzeugt. Wenn ein Problem gelöst ist, wird eine neue Währungseinheit erstellt. Der Prozess wird als Mining bezeichnet und die in den Umlauf gebrachten Einheiten der Krypto-Währungen werden weltweit gehandelt. Eher im Verborgenen bleiben die Hunderttausenden auf den Abbau von Krypto-Währungen im großen Umfang spezialisierten Computer und Server. Diese sind an Orten auf der ganzen Welt verteilt, in der Regel dort, wo die Energie entweder kostengünstig oder kostenlos ist, wie etwa in Island.

Ebenfalls im Verborgenen ist die Größe der weltweit bereits für Krypto-Mining eingesetzten Infrastruktur. Tatsächlich stellt das Bitcoin-Mining schon heute die Mehrheit des gesamten weltweiten Netzwerks dar. Für das professionelle Krypto-Mining im großen Stil werden sehr leistungsstarke Rechner mit hohem Strombedarf genutzt, beispielsweise ASIC-Miner. Mit riesigen Rechenzentren, bestückt mit solch hochgezüchteten Mining-Rechnern, lassen sich große Erträge erzielen. Der Hersteller für Bitcoin-Mining-Hardware Bitmain betreibt selbst einen der weltweit größten Mining-Parks und fuhr damit im vergangenen Jahr einen Gewinn zwischen drei und vier Milliarden US-Dollar ein. Das Krypto-Mining kann sich jedoch auch in kleinerem Umfang lohnen. Mit der richtigen Software kann praktisch jeder schon mit einem einzigen Laptop Krypto-Währungen schürfen.

So wird aus Krypto-Mining Krypto-Jacking oder Shadow-Mining

Eine der größten Herausforderungen im Zusammenhang mit dem Krypto-Mining ist die enorme Energiemenge, die es verbraucht. Experten schätzen, dass der aktuelle globale Stromverbrauch für die Server, auf denen Bitcoin-Software läuft, mindestens 2,55 Gigawatt beträgt, was einem Stromverbrauch von 22 Terawattstunden (TWh) pro Jahr entspricht – das entspricht dem jährlichen Stromverbrauch von Irland.

Infolge des massiven Energieverbrauchs von Mining-Rechnern suchen Kriminelle nach Möglichkeiten, Krypto-Währungen abzubauen, ohne selbst die Kosten dafür tragen zu müssen. Und wenn Krypto-Mining illegal und ohne Genehmigung durchgeführt wird, wird es zum Verbrechen, das sogenannte Krypto-Jacking. Krypto-Jacking ist zu einem ernsthaften globalen Problem geworden, das prinzipiell jede Organisation treffen kann. Eine Organisation, die von Krypto-Jacking betroffen ist, bleibt nicht nur auf den Stromkosten sitzen, sondern muss auch für IT-Ausfallzeiten, Hardware-Ausfall und Produktivitätsverluste aufkommen. Dabei kann die Gefahr sowohl von Innen als auch von außen kommen.

Krypto-Jacking ist eine externe Bedrohung, die auftritt, wenn ein Hacker eine Nutzerkontokompromittiert, um heimlich Krypto-Währungen über die IT-Ressourcen einer Organisation zu "minen". Shadow Mining - eine Form der Shadow IT - tritt auf, wenn ein böswilliger Insider die Computerressourcen seiner Organisation gefährdet, um illegal Krypto-Währungen rechnen zu lassen. Innerhalb eines Unternehmens werden generell vier mögliche Gefahrenquellen für Krypto-Jacking unterschieden.

Shadow-Mining

Um erfolgreich zu sein und unentdeckt zu bleiben, ist Shadow Mining darauf angewiesen, dass Sicherheitssysteme bewusst so konfiguriert werden, dass sie fehlerhaft funktionieren. Dies macht ein Unternehmen weniger sicher, führt Software ein, die zusätzliche Ressourcen verbraucht, erhöht die Angriffsfläche und macht betroffene Computer weniger zuverlässig. Man unterscheidet zwischen dem bösartigen und dem rationalisierenden Insider:

Der bösartige Insider - Dies kann jemand sein, der Zugang zu sehr leistungsfähigen Computersystemen hat und sich am Abend anmeldet, um Krypto-Währungen zu schürfen.

Der rationalisierende Insider - Hier lädt ein Einzelner kleine, krypto-unterstützte Software herunter, die er im Leerlauf seines Rechners ausführt. Dieser Miner rationalisiert, dass es in Ordnung ist, seinen Rechner zu benutzen, um Geld zu generieren, wenn er nicht in Gebrauch ist.

Krypto-Jacking

Beim Krypto-Jacking kommt die Gefahr von Aussen. Entweder direkt von einem böswilligen Aussenstehenden, oder indirekt über einen von Aussen kompromittierten Insider:

Der kompromittierte Insider - Dies kann auftreten, wenn jemand unwissentlich zum Opfer von Cyberangriffen wie Phishing, Clickbait oder Drive-by wird. Oder ein Mitarbeiter lädt versehentlich kostenlose Software herunter, die unentdeckt Krypto-Mining am Backend durchführt. Auch gibt es Video-Streaming-Websites und File-Sharing-Netzwerke, die Computer von Benutzern aus der Ferne steuern und für Krypto-Mining missbrauchen können.

Der böswillig Außenstehende - Ähnlich wie bei einem DDoS-Angriff, bei dem eine Server- oder Dienstschwachstelle genutzt wird, kann ein Hacker eine gesamte Infrastruktur kapern, um einen Krypto-Mining-Betrieb zu entwickeln. Da nicht viel Datenverkehr erzeugt wird und von Servern in Rechenzentren eine relativ hohe Belastung erwartet wird, können diese Aktionen über einen längeren Zeitraum unbemerkt bleiben.

So erkennt man, dass im Unternehmen unerlaubtes Krypto-Mining stattfindet

Man weiß, dass Krypto-Mining eine enorme Energiemenge verbrauchen kann. Krypto-Jacking anhand des Stromverbrauchs zu erkennen, kann jedoch schwierig sein, weil der Stromverbrauch von vielen Variablen abhängt. Nicht alle Computer verbrauchen die gleiche Menge an Strom, abhängig von der Anzahl der CPUs und davon, ob sie GPUs verwenden. Es hängt auch davon ab, wie oft und intensiv sie genutzt werden. Rechnet man die Kühlkosten hinzu, ist es eine komplizierte Gleichung. Das Beste, was Unternehmen tun können, ist, nach Anomalien in ihren Rechnungen zu suchen, und wenn diese bemerkt werden, nach verdächtigen Aktivitäten zu suchen.

Besser als der Stromverbrauch eignen sich Abweichungen des Nutzungsmusters, da Krypto-Mining signifikant von der normalen Nutzung eines Rechners oder Servers abweicht. Man muss also nach einer plötzlichen Änderung der Kapazität oder Nutzung sowie nach einer anormalen ausführbaren Datei suchen. Oder nach dem plötzlich nächtlichen Auftreten einer seltsamen ausführbaren Datei in einer Umgebung, die normalerweise nur EXCHANGE.EXE oder NTDS.EXE ausführt. Oder einen Rechner, der normalerweise nur tagsüber in Betrieb ist, aber plötzlich rund um die Uhr läuft.

Geheimwaffe gegen Krypto-Jacking: Entity Analytics

In einer Produktionsumgebung gibt es bestimmte Benchmarks, die die IT durchführt, um sicherzustellen, dass der ordnungsgemäße Service aufrechterhalten wird. Abweichungen von diesen Benchmarks können ein Indikator für Missbrauch sein. Die komplette Infrastruktur jedoch manuell nach Abweichungen zu durchforsten ist natürlich zu kompliziert, mühsam und zeitaufwändig, nicht nur bei sehr großen und komplexen Infrastrukturen.

Eine einfachere Möglichkeit, solche unregelmäßigen Verhaltensweisen zu erkennen, besteht darin, das normale Verhalten jedes einzelnen Hosts anhand von laufenden Prozessen, Verbindungen nach Außen und genutzter Kapazität und Auslastung zu modellieren. Moderne Sicherheitslösungen, die die relativ neue Technologie Entity Analytics nutzen, sind hierbei besonders wirksam. Sie können die Erkennung von auffälligen Verhalten von Rechnern automatisieren und Alarm schlagen, wenn ein Server plötzlich von seinem bisherigen Verhalten abweicht.

Fazit

Unternehmen, die sich effektiv vor Krypto-Jacking schützen wollen, müssen verstehen, von wem grundlegend Gefahren ausgehen können. Um Krypto-Jacking effektiv verhindern zu können, hilft die Nutzung moderner Sicherheitslösungen, die Entity Analytics nutzen, um Rechner und Server zu entlarven, die zum illegalen Mining benutzt werden.

Egon Kando

Egon Kando, Exabeam

www.exabeam.com
 

Bergbauarbeiter
Apr 08, 2019

Beim Thema Shadow-Mining tappen die meisten im Dunkeln

Exabeam hat die Ergebnisse einer Umfrage bekannt gegeben, die nahelegen, dass die…
Krypto-Jacking
Dez 20, 2018

Krypto-Jacking droht besonders im Bildungswesen

NTT Security (Germany) macht IT-Anwender auf ein neues Phänomen aufmerksam: dem…
Tb W90 H64 Crop Int 38a8c2e712f77d476bfcebfdc90ce4ec
Sep 25, 2018

Kryptojacking - wie Cyberkriminelle sich die Cloud zu Nutze machen

Mit prominenten Opfern wie Tesla, Avira und Gemalto tauchte Kryptojacking in der ersten…
GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…