Qualys Malware Research Labs gibt die Veröffentlichung der Chrome-Erweiterung Qualys BrowserCheck CoinBlocker bekannt, die Kryptojacking – illegales, browserbasiertes Krypto-Mining – erkennt und blockiert.
Kryptojacking
Kryptojacking-Angreifer nutzen bösartigen JavaScript-Code, um mit den Systemressourcen ihres Opfers bestimmte Kryptowährungen zu schürfen. Sie können diese Attacken ausführen, indem sie beliebte Websites mit JavaScript-Codes infizieren, der Kryptojacking ermöglicht. Jeder Besucher einer solchen Website lädt diesen JavaScript-Code herunter und trägt so unbewusst mit seinen eigenen Systemressourcen dazu bei, eine Kryptowährung zu schürfen, die in die Wallet des Angreifers fließt. Das ressourcenintensive Schürfen auf den Systemen des Opfers verbraucht in der Regel mehr als 70 % der CPU-Leistung. Es verringert die Systemleistung, erhöht den Stromverbrauch und kann das System potenziell sogar dauerhaft schädigen.
Da Angreifer mit dieser Methode Kryptowährungen schürfen können, ohne einen Cent für Mining-Infrastruktur ausgeben zu müssen, sind solche Angriffe sehr profitabel. Die Gesamt-Marktkapitalisierung von Kryptowährungen erreichte im Juni 2018 mehr als 250 Milliarden Dollar mit über 1700 aktiven Projekten! Angreifer können so also eine Menge Geld machen. Deshalb rückt Kryptojacking allmählich ins Zentrum der Bedrohungslandschaft – als eine Option, die sogar noch attraktiver ist als der aktuelle Favorit Ransomware.
Dass Kryptojacking in letzter Zeit so zunimmt, hat aber auch damit zu tun, dass diese Methode für Cyberkriminelle und Webmaster sicherer ist als Ransomware-Angriffe, bei denen sie mit dem Opfer interagieren müssen, um Geld einzufordern. Da Kryptojacking über den Browser ausgeführt wird, kann der Angreifer seine Opfer leichter infizieren, als wenn er sich dazu erst in einen Server einhacken muss. Krypto-Mining erfordert zudem immer mehr Ressourcen – Rechenleistung und Strom –, was es für die Angreifer zunehmend verlockend macht, diese Ressourcen einfach zu stehlen.
Kryptojacking und Monero
Monero (XMR), eine relativ neue Kryptowährung, wird immer häufiger von Kryptojacking-Angreifern ins Visier genommen, weil ihr Schürfalgorithmus (CryptoNight) auf leichte Integration ausgelegt ist und ihr stärkerer Fokus auf Datenschutz und Anonymität Hackern in die Hände spielt. Moneros Proof-of-Work-Algorithmus eignet sich für CPUs von Servern oder handelsüblichen PCs und erfordert keine spezielle ASIC- oder GPU-Hardware, wie es bei herkömmlichen Mining-Algorithmen der Fall ist. Dies ist ein wichtiger Aspekt von Kryptowährungen der neuen Generation. Hier wird auf Dezentralität gesetzt und so verhindert, dass ein kleiner Kreis von Nutzern, die über Spezial-Hardware verfügen, ein Schürfmonopol errichten. Vom Standpunkt eines Angreifers aus betrachtet, ist es eine lukrative Option, mit CPUs von gewöhnlichen Desktop-Computern und zusätzlicher Privatsphäre erhebliche Gewinne erwirtschaften zu können.
WebAssembly, ein binäres ausführbares Format für das Web, ist für Kryptojacking-Angreifer ein beliebtes Hilfsmittel, da es die JavaScript-Ausführung im Browser sehr effizient macht.
Abb. 1 Marktkapitalisierung mit CryptoNight-basierten Kryptowährungen, Juni 2018. Quelle: https://coinmarketcap.com
Infektionen
Laut einem Artikel, der vor kurzem von Bad Packets Report veröffentlicht wurde, sind derzeit mehr als 100.000 Websites anfällig für Kryptojacking-Malware. Die meisten davon können offenbar mithilfe eines Exploits für Drupalgeddon 2 infiziert werden (CVE-2018-7600), obwohl für diese Sicherheitslücke schon seit mehreren Monaten ein Patch verfügbar ist.
Bemerkung am Rande: Patchen Sie Ihre Systeme regelmäßig! Es gibt Berichte über Malware-Kampagnen, die einen vor kurzem veröffentlichen Exploit für diese Schwachstelle einsetzen, um Opfer zu kompromittieren und Coin-Mining-Skripte einzuschleusen. Sobald ein Benutzer eine kompromittierte Website besucht, trägt sein System ohne sein Wissen dazu bei, ein kryptografische Aufgabe zu lösen (Proof-of-Work), von der der Angreifer profitiert.
Um zu verhindern, dass die Ressourcen von Nutzern über unautorisierte Coin-Mining-Skripte, die auf ihrem Rechner laufen, abgeschöpft werden, muss der Zugriff auf die folgenden beliebten Coin-Mining-Dienste blockiert werden:
- coinhive[.]com
- load[.]jsecoin[.]com
- crypto-loot[.]com
- coin-have[.]com
- ppoi[.]org
- cryptoloot[.]pro
- papoto[.]com
- coinlab[.]biz
Qualys BrowserCheck CoinBlocker für Google Chrome
Der Qualys BrowserCheck CoinBlocker ist eine neue Browsererweiterung für Google Chrome, die auf umfassenden Untersuchungen von Qualys Malware Research Labs basiert und die Nutzer vor browserbasierten Coin-Mining-Angriffen schützt.
Die folgenden Screenshots zeigen die Browsererweiterung Qualys BrowserCheck CoinBlocker in Aktion:
Qualys BrowserCheck CoinBlocker bezieht sich nicht nur auf die Domain-Blacklist, sondern wendet auch heuristische Verfahren an, um grundlegende Krypto-Mining-Algorithmen wie CryptoNight (zum Schürfen von Monero) und ihre diversen Artefakte zu identifizieren.
Erkennung herkömmlicher Krypto-Mining-Bedrohungen
Illegales Krypto-Mining wird allerdings nicht nur mit browserbasierten Skripten durchgeführt: Um Krypto-Währungen zu schürfen, infizieren manche Angreifer die Systeme mit einer hartnäckigen Malware, die außerhalb des Browsers ausgeführt wird. Zur leichteren Erkennung solcher Malware können Sicherheitsfachleute die Lösung Qualys Indication of Compromise (IOC) nutzen, die ihnen binnen 2 Sekunden eine Übersicht über Coin-Mining- und andere Malware im gesamten Unternehmen verschafft. Qualys IOC bietet verhaltensbasierte Erkennung von Malware-Familien für die folgenden Coin-Mining-Bedrohungen:
- CryptoMinerA
- CryptoMinerB
- CryptoMinerC
- CryptoMinerD
- CryptoMinerE
- Neksminer
Qualys BrowserCheck Business Edition
Die Qualys BrowserCheck Business Edition prüft laufend, welche Browser, Plug-ins, Betriebssystemeinstellungen und Patches auf den Computern Ihrer Nutzer vorhanden sind, und zeigt Ihnen, wann diese aktualisiert werden müssen. Die Lösung fordert die Nutzer sogar auf, überholte Software zu erneuern. Auf diese Weise erspart Ihnen die Qualys BrowserCheck Business Edition langes Rätselraten, ob Ihre Rechner für die neuesten Probleme in Java, Flash, Adobe Reader oder anderen Browser-Plug-ins anfällig sind.
Hier erhalten Sie die Qualys BrowserCheck Business Edition.