Schwerpunkte

Cryptojacking

Coin-Mining-Parasiten den Garaus machen

13. Dezember 2019, 11:22 Uhr   |  Autor: Ben Kröger / Redaktion: Diana Künstler | Kommentar(e)


Fortsetzung des Artikels von Teil 1 .

Auffällige Nebeneffekte verraten Befall

Ein besonders attraktives Ziel für Kriminelle sind Infrastructure-as-a-Service-Umgebungen, da sie dort nahezu unbegrenzt Ressourcen kapern können. Oft führen Fehlkonfigurationen vor allem in Kubernetes-Clustern dazu, dass Sicherheitslücken entstehen. Ist ein System einmal infiziert, tarnt sich Cryptojacking-Malware meist so gut, dass man sie nicht erkennt. Der Befall wird nur durch die Nebeneffekte deutlich: Es kommt zu einer hohen Last, die Systeme werden langsamer, die Lüfter lauter und der Stromverbrauch steigt. In der Unternehmens-IT sollten Administratoren deshalb die Systemauslastung kontinuierlich mit einer Network-Monitoring-Lösung überwachen. Denn Cryptojacking-Malware muss mit einer Mining-Plattform kommunizieren, von der sie ihre Rechenaufgaben erhält und an die sie ihre Ergebnisse liefert. Traffic, der zum Beispiel von und zu CoinImp.com führt, deutet folglich auf einen Cryptojacking-Befall hin. Außerdem helfen Intrusion-Detection-Systeme (IDS) oder ein Security Information and Event Management (SIEM), Anomalien zu erkennen.

Wie man einen Cryptojacking-Befall wieder loswird, hängt vom Infektionsweg ab. Findet das Mining lediglich im Browser statt und wurde kein Code auf das System heruntergeladen, reicht es aus, den Browser zu schließen und neu zu starten. Allerdings sollte der Anwender nicht die Option „Alle Sessions wiederherstellen“ wählen, sonst startet auch das Mining-Script wieder. Hat allerdings eine Malware das System infiziert, ist es meist nötig, die Systeme neu aufzusetzen oder ein Back-up einzuspielen.

Mit Ad-Blockern und Proxy-Lösungen konternUm Cryptojacking im Browser zu verhindern, empfiehlt es sich, einen Adblocker zu installieren. Er filtert Werbung heraus und schützt dadurch vor Anzeigen, die mit einem Mining-Javascript präpariert sind. Außerdem sollte der Browser so konfiguriert sein, dass er gefährliche Webadressen via Blacklisting blockiert. Auf Unternehmensebene empfiehlt es sich, eine Enterprise-Proxy-Lösung einzusetzen. Sie kann nicht nur gefährliche URLs zentral für alle Rechner im Netzwerk blockieren, sondern auch Log Monitoring, Virenscanning und Sandboxing übernehmen. Wenn der Webtraffic SSL-verschlüsselt (Secure Socket Layer) ist, muss SSL Inspection für den Proxy eingerichtet sein. Um mobile Endgeräte zu schützen, empfiehlt es sich, ein Mobile Device Management (MDM) zu etablieren. Damit können Sicherheitsverantwortliche nahezu alle Funktionen eines Smartphones oder Tablets steuern oder einschränken.

Ben Kröger, Axians IT Security
© Axians IT Security

Der Autor, Ben Kröger, ist Leiter Professional Service bei Axians IT Security.

Cryptominer-Befall zwingt zum HandelnAuch wenn der Ressourcen-Klau zunächst harmlos erscheint, sollten Unternehmen Cryptojacking nicht auf die leichte Schulter nehmen. Ein Befall mit einem Cryptominer ist ein Alarmsignal, dass Sicherheitslücken bestehen, die eine betroffene Firma schnellstens schließen muss. Denn wer anfällig für Mining-Malware ist, ist auch durch andere Schadsoftware verwundbar. De facto haben Kriminelle bei einer erfolgreichen Cryptojacking-Attacke einen Fuß in der Tür, um weitere kriminelle Aktionen durchzuführen. Sie können zum Beispiel Bot-Netze aufbauen und für andere Zwecke weitervermieten. Beliebte Einsatzgebiete für solche Bot-Netze sind DDoS-Attacken, Spam-Kampagnen oder Klick-Betrug.

Seite 2 von 3

1. Coin-Mining-Parasiten den Garaus machen
2. Auffällige Nebeneffekte verraten Befall
3. Avast-Kommentar: Das Ende von Coinhive

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Wenn du sie nicht stehlen kannst, schürfe sie
Für die nächste Generation von Ransomware-Angriffen gewappnet
Böse KI, Phisher und Cryptojacker
Eset enttarnt gigantisches Coinminer-Botnetz
Risiken in Produktionsumgebungen entlarven und beheben

Verwandte Artikel

funkschau, Avast Deutschland GmbH