Laut dem Report „Aufspüren von Malware in Linux-basierten Multi-Cloud-Umgebungen“, der von der VMware Threat Analysis Unit erstellt wurde, werden Unternehmen mit Linux-basierten Multi-Cloud-Umgebungen zum bevorzugten Ziel von Cyber-Kriminellen für das heimliche Mining von Kryptowährungen.
Dieser Post befasst sich mit einigen zentralen Analysen der Kryptomining-Komponenten, die bei aktuellen Kryptojacking-Angriffen verwendet wurden, sowie mit den eingesetzten Methoden und den Möglichkeiten, die Bedrohung zu erkennen und abzuwehren.
Mining von Monero (XMR)
Kryptojacking-Angriffe zielen in der Regel darauf ab, Kryptowährungs-Wallets mithilfe von Malware zu stehlen oder gestohlene CPU-Zyklen gewinnbringend für das Mining von digitalen Währungen zu nutzen.
Laut dem Report zielen die meisten Kryptojacking-Angriffe auf das Mining der Kryptowährung Monero (auch als XMR bezeichnet) in Linux-basierten Multi-Cloud-Umgebungen ab, wobei in erster Linie XMRig-basierte Bibliotheken genutzt werden.
Warum Mining von Monero?
Diese digitale Währung ist attraktiv, da Monero als sogenannte Privacy Coin den Fokus auf die Anonymität der Anwender und des Volumens der einzelnen Transaktionen legt. Zudem können beim Mining von Monero anders als bei Bitcoin die CPU- oder GPU-Zyklen gewöhnlicher Computer genutzt werden.
„Es ist sehr einfach, eine Variante des Open Source Miners XMRig zu platzieren und den Monetarisierungsprozess zu starten. Dies ist beim Einsatz falsch konfigurierter Container-Managementsoftware wie Docker oder Kubernetes besonders einfach“, sagt Giovanni Vigna, Senior Director of Threat Intelligence bei VMware.
XMRig und Mining-Pools
Die gängige Anwendung zum Mining von Monero ist der Open Source Miner XMRig. XMRig ist zwar auch für das Mining anderer Kryptowährungen geeignet, wird aber meist zum Mining von Monero genutzt.
„Wir haben FLIRT-Signaturen für die von XMRig verwendeten Bibliotheken entwickelt, wenn diese auf verschiedenen Linux-Distributionen kompiliert werden. Wir haben auch Go-Modul-Detektoren entwickelt, um relevante kryptobezogene Module zu erkennen“, erläutert Vigna. „Als wir geprüft haben, ob diese sowohl in C/C++ als auch in Go geschriebenen Komponenten vorhanden sind, stellten wir fest, dass 89% der Kryptomining-Angriffe XMRig-basierte Bibliotheken verwenden.“
Der Report identifizierte zudem einige der am häufigsten beim Kryptojacking eingesetzten Mining-Pools. Durch den Beitritt zu einem Mining-Pool kann die Malware zum gesamten Mining-Prozess beitragen und von den Vorteilen des kollektiven Mining profitieren. Die Computing-Leistung eines einzelnen Hosts reicht wahrscheinlich nicht aus, um aussagekräftige Ergebnisse zu erzielen.
Im Report wurden außerdem die Kryptominer-Familien Omelette, WatchDog und Kinsing untersucht.
Ziele und Taktiken
Laut dem Report nutzen Kryptominer am häufigsten eine Umgehung von Abwehrmaßnahmen. Hinsichtlich der verwendeten Methoden und Taktiken setzen Kryptominer im Vergleich zu den im Report analysierten Ransomwaresamples vielfältigere Techniken ein, um Daten zu verschleiern. Diese Samples nutzten außerdem Paketierung und dynamisch generierten Code in Bezug auf beispielsweise Ransomware stärker, da es beim Kryptomining darauf ankommt, möglichst lange unerkannt zu bleiben, während kostbare CPU-Zyklen gestohlen werden.
Abwehren von Kryptomining-Bedrohungen
Kryptojacking-Angriffe können zu höheren Energiekosten, stockendem Betrieb oder höheren Cloud Computing-Kosten führen. Diese Angriffe sind jedoch häufig schwer zu erkennen, weil sie anders als Ransomware den Betrieb von Cloud-Umgebungen nicht vollständig unterbrechen. Sie lösen im Gegensatz zu Datenschutzverletzungen auch keinen Alarm aus, wenn ein unbefugter oder anomaler Zugriff auf sensible Daten festgestellt wird.
Kryptojacking-Angriffe lassen sich laut dem Report am besten mithilfe von Analysefunktionen für den Netzwerkdatenverkehr (Network Traffic Analysis, NTA) aufspüren. So lassen sich interne Hosts identifizieren, die die Ergebnisse der Mining-Arbeiten nach außen weitergeben. Denn diese Kommunikation ist erforderlich, um den Angriff zu monetarisieren. Gesucht werden Verbindungen zu Mining-Pools. Viele Kryptomining-Malwaresamples stellen jedoch eine Verbindung zu einem Command-and-Control-Host her, der als Netzwerk-Proxy agiert, um unentdeckt zu bleiben. In diesen Fällen kann die Bedrohung nur durch ausgefeiltere Verfahren zur Anomalieerkennung aufgespürt werden.
Sie können beispielsweise nach Verbindungen von Hosts zur Außenwelt suchen, die bisher nie eine Verbindung zur Außenwelt hergestellt haben.
Laut Report können EDR-Lösungen ebenfalls abnormale CPU-Nutzungsmuster erkennen, die den Berechnungen im Zusammenhang mit Blockchain-Mining direkt zugeordnet werden können. Die gezielte Überwachung von Cloud-Umgebungen mit host- und netzwerkbasierten Erkennungstechniken kann zur Abwehr dieser Angriffe beitragen.
Weitere detaillierte Analysen und Erkenntnisse
Dies sind nur einige der wichtigen Erkenntnisse aus der Kryptomining-Analyse, die im Report „Aufspüren von Malware in Linux-basierten Multi-Cloud-Umgebungen“ aufgeführt werden. Der Report gibt außerdem einen umfassenden Überblick über Ransomware und Remote Access Tools.
Vollständigen Report herunterladen: Aufspüren von Malware in Linux-basierten Multi-Cloud-Umgebungen
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn, Youtube & Podcast
