CryptoJacking – Die unsichtbare Gefahr

CryptoJacking – Die unsichtbare Gefahr

CryptoJacking – Die unsichtbare Gefahr

Unser CSOC erreichten kürzlich die Meldungen ‚Windows Script Executing PowerShell‘ sowie ‚Local Service Commands‘. Nach einer eingehenden Analyse im SIEM stellten wir fest, dass in einem Kundensystem folgende Powershell-Skripte aus diversen Frameworks wie Out-Compressed DDL und Invoke-Reflective PE Injektion verwendet wurden, um eine Ausführung zu ermöglichen: ‚nitro.ps1‘, ‚WMI.ps1‘ und ‚WMI64.ps1‘. Eine weitere Recherche ergab, dass diese Skripte von der fortschrittlichen CryptoJacking Malware „GhostMiner“ verwendet werden.

Im Folgenden möchte wir Ihnen diese drei Skripte näher erläutern: Das Skript ‚nitro.ps1‘ versucht alle verwendeten Passwörter per Brute-Force zu erzwingen, um einen Zugriff auf das jeweilige System zu erhalten. ‚WMI.ps1‘ archiviert die Persistenz mithilfe von WMI-Objekten (Windows Management Instrumentation). Es lädt zudem Payloads herunter und führt diese aus. Eine der ausgeführten Payloads eliminiert alle anderen Crypto-Miner auf dem infizierten Computer. WMI.ps1 sucht außerdem nach Listen von Diensten, geplanten Tasks und Befehlszeilenargumenten, die häufig in Verbindung mit Crypto-Minern vorkommen. ‚WMI64.ps1‘ startet schließlich den eigenen Crypto-Miner.

Doch welche Gefahr verbirgt sich hinter CryptoJacking? – Das Ziel von Angreifern ist es, durch CryptoJacking die Rechenressourcen von Geräten zu nutzen, um in der Folge wertvolle Online-Währungen wie Bitcoins zu stehlen. Doch die Schadsoftware wirkt sich auch an anderen Stellen negativ aus: Die Trojaner verlangsamen die Computerleistung aufgrund der hohen CPU-Auslastung immens. Häufig läuft dadurch die Rechnerlüftung auf Hochtouren. Bei einigen Unternehmen, die von vielen CryptoJacking-Systemen befallen wurden, entstehen somit jährlich nennenswerte Summen an Strom- und IT-Arbeitskosten. Zudem können reduzierte Rechnerleistungen dazu führen, dass bestimmte Geschäftsprozesse nicht mehr schnell und reibungslos ablaufen können.

Im Falle unseres Kunden, konnte diese Gefahr rechtzeitig abgewehrt werden. Unser Team hat ihn über diese Aktivitäten umgehend informiert und empfohlen, das betroffene System auf ungewöhnliche Prozesse, die eine hohe Prozessor-Auslastung verursachen, zu überprüfen. Unser Kunde ist anschließend tatsächlich fündig geworden und konnte das Crypto-Mining verhindern.

Unsere Handlungsempfehlungen:

- Bieten Sie Ihren Mitarbeitern Awareness-Schulungen an, um sie im Umgang mit E-Mails und dubiosen Links zu sensibilisieren.

- Blockieren Sie JavaScript in dem Browser, um Drive-by-Cryptojacking zu stören.

- Installieren Sie die Browser-Add-Ons „AdBlock“, „No Coin“ und „MinerBlock“, um Mining-Aktivitäten in diversen Browsern zu blockieren.

- Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind.

- Rufen Sie dubiose Links oder gekürzte URLs nicht auf und prüfen Sie im Zweifelsfall mithilfe der Google-Suchmaschine bzw. anhand der Beschreibung auf der Ergebnisseite, ob die Website seriös ist.

- Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

- Beobachten Sie die üblichen Rechnerauslastungen der Systeme und dokumentieren Sie diese, um Abweichungen erkennen zu können.

- Blockieren Sie alle Websites, die dafür bekannt sind CryptoJacking Skripte zu liefern.

Fehler in ThroughTek SDK ermöglicht Angreifern das Ausspionieren von IoT-Geräten

Kritischer Fehler in ThroughTek SDK ermöglicht Angreifern das Ausspionieren von IoT-Geräten

Kürzlich wurde eine Sicherheitslücke entdeckt, die mehrere Versionen des ThroughTek Kalay P2P Software Development Kits (SDK) betrifft. Die Schwachstelle mit der Bezeichnung CVE-2021-28372 (CVSS-Score: 9.6) wurde Ende 2020 von FireEye Mandiant entdeckt und betrifft unsachgemäße Zugriffskontrollen in den Point-to-Point (P2P)-Produkten von ThroughTek, die bei erfolgreicher Ausnutzung das Abhören von Live-Audio, die Einsicht in Echtzeit-Videodaten oder die Kompromittierung von Geräteanmeldeinformationen ermöglichen könnten. Damit würde es Angreifern gelingen, die Kontrolle über ein betroffenes Gerät zu übernehmen, was zu einer Remotecodeausführung und zum unbefugten Zugriff auf sensible Informationen führen könnte.

Es existieren aktuell schätzungsweise 83 Millionen aktive Geräte, die auf der Kalay-Plattform laufen. Folgenden Versionen des Kalay P2P SDK sind von dieser Schwachstelle betroffen:

  • Version 3.1.5 und früher
  • SDK-Versionen mit dem nossl-Tag
  • Firmware von Geräten, die keinen AuthKey für die IOTC-Verbindung verwenden.
  • Firmware für Geräte, die AVAPI-Module verwenden, ohne den DTLS-Mechanismus zu aktivieren.
  • Firmware für Geräte, die P2PTunnel- oder RDT-Module verwenden.

Die Kalay-Plattform des taiwanesischen Unternehmens ist eine P2P-Technologie, die mit dem Internet verbundene Videoüberwachungsprodukte wie IP-Kameras und Lichtkameras in die Lage versetzt, große Audio- und Videodateien mit geringer Latenz sicher zu übertragen. Ermöglicht wird dies durch das SDK, eine Implementierung des Kalay-Protokolls, die in mobile und Desktop-Apps sowie in mit dem Netzwerk verbundene IoT-Geräte eingebettet ist.

CVE-2021-28372 betrifft den Registrierungsprozess zwischen einem Gerät und seiner mobilen App, insbesondere die Art und Weise, wie es auf das Kalay-Netzwerk zugreift und diesem beitritt. Dies versetzt Angreifer in die Lage, die Gerätekennung des Opfers (die so genannte UID) zu fälschen, böswillig Geräte mit derselben UID im Netzwerk zu registrieren, den Registrierungsserver zu veranlassen, bestehende Geräte zu überschreiben und die Verbindung fälschlicherweise an ein betrügerisches Gerät zu übertragen.

Sobald der Angreifer die UID missbräuchlich registriert hat, werden alle Verbindungsversuche von Clients, die auf die UID des Opfers zugreifen wollen, an den Angreifer weitergeleitet. Der Angreifer kann anschließend den Verbindungsprozess fortsetzen und die für den Zugriff auf das Gerät erforderlichen Anmeldedaten (Benutzername und Kennwort) erhalten. Die kompromittierten Anmeldedaten ermöglichen dem Angreifer, das Kalay-Netzwerk zu nutzen, um sich aus der Ferne mit dem Originalgerät zu verbinden, auf die AV-Daten zuzugreifen und RPC-Aufrufe zu tätigen.

Unsere Handlungsempfehlungen:

  • Es wird empfohlen, das Kalay-Protokoll auf Version 3.1.10 zu aktualisieren. Außerdem sollten DTLS und der Authentifizierungsschlüssel aktiviert werden, um Daten während der Übertragung zu schützen und eine zusätzliche Authentifizierungsebene während der Client-Verbindung hinzuzufügen.
  • Wenn eine ältere SDK-Version als 3.1.10 vorliegt, aktualisieren Sie die Bibliothek auf v3.3.1.0 oder v3.4.2.0 und aktivieren Sie authkey/DTLS.
  • Aktualisieren Sie regelmäßig Ihre IoT-Geräte.
  • Verwenden Sie ein VPN, das DDoS-Angriffen entgegenwirken kann.
  • Deaktivieren Sie UPnP (Universal Plug and Play), da diese Funktion dabei unterstützen soll, andere Netzwerkgeräte zu erkennen.