CryptoJacking – Die unsichtbare Gefahr
CryptoJacking – Die unsichtbare Gefahr
Unser CSOC erreichten kürzlich die Meldungen ‚Windows Script Executing PowerShell‘ sowie ‚Local Service Commands‘. Nach einer eingehenden Analyse im SIEM stellten wir fest, dass in einem Kundensystem folgende Powershell-Skripte aus diversen Frameworks wie Out-Compressed DDL und Invoke-Reflective PE Injektion verwendet wurden, um eine Ausführung zu ermöglichen: ‚nitro.ps1‘, ‚WMI.ps1‘ und ‚WMI64.ps1‘. Eine weitere Recherche ergab, dass diese Skripte von der fortschrittlichen CryptoJacking Malware „GhostMiner“ verwendet werden.
Im Folgenden möchte wir Ihnen diese drei Skripte näher erläutern: Das Skript ‚nitro.ps1‘ versucht alle verwendeten Passwörter per Brute-Force zu erzwingen, um einen Zugriff auf das jeweilige System zu erhalten. ‚WMI.ps1‘ archiviert die Persistenz mithilfe von WMI-Objekten (Windows Management Instrumentation). Es lädt zudem Payloads herunter und führt diese aus. Eine der ausgeführten Payloads eliminiert alle anderen Crypto-Miner auf dem infizierten Computer. WMI.ps1 sucht außerdem nach Listen von Diensten, geplanten Tasks und Befehlszeilenargumenten, die häufig in Verbindung mit Crypto-Minern vorkommen. ‚WMI64.ps1‘ startet schließlich den eigenen Crypto-Miner.
Doch welche Gefahr verbirgt sich hinter CryptoJacking? – Das Ziel von Angreifern ist es, durch CryptoJacking die Rechenressourcen von Geräten zu nutzen, um in der Folge wertvolle Online-Währungen wie Bitcoins zu stehlen. Doch die Schadsoftware wirkt sich auch an anderen Stellen negativ aus: Die Trojaner verlangsamen die Computerleistung aufgrund der hohen CPU-Auslastung immens. Häufig läuft dadurch die Rechnerlüftung auf Hochtouren. Bei einigen Unternehmen, die von vielen CryptoJacking-Systemen befallen wurden, entstehen somit jährlich nennenswerte Summen an Strom- und IT-Arbeitskosten. Zudem können reduzierte Rechnerleistungen dazu führen, dass bestimmte Geschäftsprozesse nicht mehr schnell und reibungslos ablaufen können.
Im Falle unseres Kunden, konnte diese Gefahr rechtzeitig abgewehrt werden. Unser Team hat ihn über diese Aktivitäten umgehend informiert und empfohlen, das betroffene System auf ungewöhnliche Prozesse, die eine hohe Prozessor-Auslastung verursachen, zu überprüfen. Unser Kunde ist anschließend tatsächlich fündig geworden und konnte das Crypto-Mining verhindern.
Unsere Handlungsempfehlungen:
– Bieten Sie Ihren Mitarbeitern Awareness-Schulungen an, um sie im Umgang mit E-Mails und dubiosen Links zu sensibilisieren.
– Blockieren Sie JavaScript in dem Browser, um Drive-by-Cryptojacking zu stören.
– Installieren Sie die Browser-Add-Ons „AdBlock“, „No Coin“ und „MinerBlock“, um Mining-Aktivitäten in diversen Browsern zu blockieren.
– Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind.
– Rufen Sie dubiose Links oder gekürzte URLs nicht auf und prüfen Sie im Zweifelsfall mithilfe der Google-Suchmaschine bzw. anhand der Beschreibung auf der Ergebnisseite, ob die Website seriös ist.
– Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.
– Beobachten Sie die üblichen Rechnerauslastungen der Systeme und dokumentieren Sie diese, um Abweichungen erkennen zu können.
– Blockieren Sie alle Websites, die dafür bekannt sind CryptoJacking Skripte zu liefern.