Nuthawut - stock.adobe.com
Krypto-Miner bleiben eine Bedrohung für Unternehmen
Ransomware und Krypto-Miner gehören zur am weitetest verbreiteten Schadsoftware. Grund genug, einmal einen kombinierten Ransomware/Krypto-Miner-Angriff im Detail zu betrachten.
Krypto-Miner haben im Jahr 2018 der Ransomware den Rang als am weitesten verbreitete Schadsoftware abgelaufen. Im aktuellen Security Report von Check Point wird dieser Trend bestätigt. Von dieser Bedrohung wusste jedoch nur jeder fünfte IT-Sicherheitsexperte. Die Ergebnisse des Reports zeigen, dass Krypto-Miner im Jahr 2018 zehnmal häufiger als Ransomware Unternehmen infizierten. 37 Prozent der Unternehmen weltweit wurden 2018 von Krypto-Minern befallen. 20 Prozent der Unternehmen werden weiterhin jede Woche infiziert, trotz eines Rückgangs der Krypto-Währungswerte an den einschlägig bekannten Börsen um 80 Prozent. Unterstrichen wird dies durch die Untersuchungen der Sicherheitsforscher, die im März 2019 eine Monero-Kampagne aufdecken konnten in der sowohl ein Krypto-Miner, als auch Ransomware verwendet wurden.
Einfallstore für solche Angriffe sind in der Regel eine Schwachstelle im Unternehmensnetzwerk, einer Datei oder einer Anwendung oder schlichtweg eine Phishing-E-Mail. Auf diese vier verschiedenen Arten wird die Malware in das Netzwerk eines Unternehmens eingeschleust. An dieser Stelle gilt das Netzwerk als gefährdet, aber noch nicht als infiziert. Die Malware sucht dann nach weiteren Netzwerkzugriffen und Schwachstellen oder kommuniziert mit den Command-and-Control-Servern (C&C), um zusätzliche Anweisungen und schädlichen Code nachzuladen. Sie wird dann typischerweise Kompromisse eingehen, um sicherzustellen, dass der Angriff fortgesetzt werden kann, wenn das Einfallstor später geschlossen wird. Die Malware sammelt diese Daten auf einem Staging-Server und exfiltriert sie dann aus dem Netzwerk, um sie unter die volle Kontrolle des Bedrohungsakteurs zu bringen. Die tatsächlich Schadsoftware, egal ob Miner, Trojaner oder Ransomware, wird dann auf die Endpunkte und Server des Unternehmens übertragen.
Die kombinierte Monero- und Ransomware-Kampagne
Tatsächlich zeigte die nun gefundene Malware Ähnlichkeiten mit den Infektions- und Verbreitungstechniken früherer Ransomware-Angriffe. Darüber hinaus ist das Highlight dieser Variante der Einsatz von gewöhnlichen IT-Administrationswerkzeugen, Windows-System-Tools und zuvor offenbarten Windows-Schwachstellen, um ein ganzes Netzwerk von PCs zu infizieren. Die für den Angriff verwendete Malware besteht aus zwei Varianten von Trojanern, die als „Trojan.Win32.Fsysna“ bezeichnet werden, sowie einer Variante des Monero-Krypto-Miners. Die erste Anweisung an den Trojaner lautet, andere oder ältere Instanzen von sich selbst zu stoppen, die zuvor auf dem Computer ausgeführt wurden.
Er verwendet die standardmäßige Task-Kill-Anwendung von Windows, um dieses Ziel zu erreichen. Zusätzlich bedient er sich der WMI-Anwendung, um weitere Prozesse zu stoppen, die vom Windows-Temp-Ordner aus gestartet wurden. Als nächstes setzen die Angreifer das Dienstprogramm Netsh Windows ein, um die richtigen Ports zu öffnen, die für die Verbindung mit dem Miner-Netzwerk erforderlich sind. Um abschließend Persistenz zu schaffen, bereinigt der Krypto-Miner erneut ältere Versionen von sich selbst und erstellt fortwährend Tasks, um wiederholt neue Prozesse zu starten.
„Die Kriminellen hinter dieser Monero-Kampagne verfügen über genügend Fähigkeit und Erfahrung, um ihren Angriff zu einem schwerwiegenden für jedes Unternehmen zu machen, das über keinen Notfallplan zur Behebung verfügt.“
Egon Winter, Check Point
Danach wird eine sekundäre Schadsoftware im Temp-Ordner abgelegt, der im Wesentlichen eine leicht modifizierte Version des Trojaners ist, aber so eingestellt, dass er von verschiedenen Pfaden aus auf dem System ausgeführt werden kann. Genau wie die updater.exe stoppt die neue Schadsoftware alle früheren Versionen des Trojaners, die vom temporären Speicherort aus ausgeführt wurden, und verschiebt sich als wmiex.exe in den Systemordner. Von nun an erstellt er unter Verwendung von Windows als unauffälliges Werkzeug eine geplante Aufgabe, um eine Webserveranwendung nachzuahmen und beim Start auszuführen. Es wird nun der DNS-Cache des Systems geleert und die geplante Aufgabe gestartet, die der Trojaner erstellt hat.
Missbrauch standardisierter Windows-Tools
Nach dem Neustart wiederholt der Trojaner alle Techniken der Windows-Kommandozeile, um sich vor dem automatisierten Bereinigungswerkzeug zu verstecken oder seine Binärdateien auf die neuesten Clients zu aktualisieren. Während der Angriffskette wurde auch ein PowerShell-Skriptstart beobachtet, der versucht, sich mit einer Reihe von definierten IP-Adressen zu verbinden und so möglicherweise andere Computer infiziert. Eine genauere Überprüfung des Inhalts des PowerShell-Skripts zeigt, dass dieses Skript eine benutzerdefinierte Version des beliebten Invoke-SMBClient-Dienstprogramms zusammen mit einer Mischung aus anderen Skripten ist. Diese Skripte verwenden Windows-Tools, um Daten von der lokalen Maschine zu erhalten und an den C&C-Server weiterzugeben.
Diese Werkzeuge könnten möglicherweise weitere Schadsoftware nachzuladen. Ein sekundäres PowerShell-Skript wird dann zu einem späteren Zeitpunkt vom Trojaner gestartet, dass bei näherer Betrachtung auf die Invoke-Cats verweist, eine verschleierte, skriptbasierte Version von Mimikatz (Hacking Tool für Penetration Testing). Der Inhalt des Skripts stimmt exakt mit dem im Github-Repository beobachteten Skript überein. Der Trojaner verbindet sich außerdem mit dem C&C-Server und füttert ihn mit den neuesten Informationen des infizierten Computers. Zu einem späteren Zeitpunkt wird ein Bitcoin Miner auf den infizierten Computer geladen, der parallel zum Monero Miner läuft.
Fazit
Die Kriminellen hinter dieser Monero-Kampagne verfügen über genügend Fähigkeit und Erfahrung, um ihren Angriff zu einem schwerwiegenden für jedes Unternehmen zu machen, das über keinen Notfallplan zur Behebung verfügt. Die Verwendung von gewöhnlichen Windows Tools wie CMD, WMI und Netzwerk-Tools, würde solche Angriffe nur schwierig erkennbar machen. Der Einsatz von Open Source und skriptbasierten Tools, um laterale Bewegungen im Netzwerk des kompromittierten Unternehmens durchzuführen und die Infektionsraten in locker gesicherten Organisationen zu erhöhen, zeigt auch, dass die Verbrecher hinter diesen Kampagnen keine Amateure sind.
Letztlich beleuchtet dieses Beispiel den Erfolg, den Cyberkriminelle mit Krypto-Minern haben können und erklärt, warum von diesen weiteren Investments in diese Aktivitäten getätigt werden, die mittlerweile sogar als Malware as a Service auf den einschlägig bekannten Marktplätzen gebucht werden können. Um nicht Opfer eines solchen Angriffs zu werden, empfiehlt es sich für IT-Sicherheitsexperten, neueste Patches und Updates herunterzuladen sowie sicherzustellen, dass eine moderne und flexible Sicherheitslösung in allen Teilen des Netzwerks implementiert wird.
Über den Autor:
Egon Winter ist Vertriebsleiter Strategische Accounts Industrie,Handel, Logistik, Energie bei Check Point Software Technologies, Ltd.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
