Sicherheitsforscher haben eine Malware entdeckt, die Microsoft-Server infiziert und die Cyberwährung Monero für sie schürft.
Die Sicherheitsforscher des Security-Software-Herstellers Eset haben eine Malware entdeckt, die Microsoft-Server infiziert und die es Hackern erlaubt, die Kryptowährung Monero (XMR) für sich zu schürfen, heißt es in einer Pressemitteilung des Unternehmens. So würden Cyberkriminelle die Open-Source-Mining-Software von Monero für ihre Zwecke modifizieren, um eine bekannte Sicherheitslücke in Microsoft IIS 6.0 auszunutzen.
Cyberkriminelle schürfen heimlich Monero auf Windows-Servern
Ebenso wie bei Bitcoin, gibt es auch bei Monero die Möglichkeit, weiteres Geld zu schöpfen. Allerdings ist dieser als «Mining» bekannte Vorgang immens rechen- und somit stromintensiv. Deshalb ist es für Kriminelle attraktiv, die Mining-Software auf fremden Rechnern laufen zu lassen. In diesem Fall kompromittierten Angreifer zur Durchführung der Attacke ungepatchte Windows Webserver mit einem schädlichen Kryptowährungs-Miner mit dem Ziel, die Computerpower der Server anzuzapfen, um die Kryptowährung Monero (XMR) für sich zu schürfen. Das Wort Monero ist der Sprache Esperanto entnommen und bedeutet „Währung“ oder „Münze“ und zählt zu den neueren Kryptowährungsalternativen.
Die von den Angreifern ausgenutzte Sicherheitslücke wurde bereits im März 2017 von Zhiniang Peng und Chen Wu entdeckt. Hier könnten Unbefugte Schadcode aus der Ferne einschleusen und ausführen oder zumindest ein Denial-of-Service verursachen. Demnach steckt der eigentliche Fehler – ein Pufferüberlauf – in der WebDAV-Komponente der Microsoft Internet Information Services (IIS) Version 6.0. Neuere Versionen des Webservers sind nicht betroffen. Die Sicherheitslücke wäre besonders anfällig für Ausnutzungen, da sie sich innerhalb eines Webserver-Services befindet, der in den meisten Fällen vom Internet aus erreichbar ist und von praktisch jedem bedient werden kann. Die Sicherheitsforscher von ESET gehen davon aus, dass die Cyberkriminellen bereits seit Mai 2017 agieren.
Kryptowährung ideal für das Schürfen auf Servern
Peter Kálnai, Malware Researcher bei ESET, klärt uns über die Hintergründe auf. Er erklärt, warum gerade der Monero so interessant für die Hacker ist. „Auch wenn die Kryptowährung noch nicht so verbreitet ist wie Bitcoin, gibt es mehrere gute Gründe, warum sich Angreifer auf Monero spezialisieren. Funktionen, wie nicht zurückverfolgbare Transaktionen und der Proof-of-Work-Algorithmus CryptoNight, der die zentrale Recheneinheit eines Computers oder Servers bevorzugt, machen Monero zu einer attraktiven Alternative für Cyberkriminelle. Im Vergleich dazu wird für Bitcoin-Mining spezielle Mining-Hardware benötigt.“
In nur drei Monaten ist es den Hackern gelungen, ein Botnet von mehreren hundert infizierten Servern aufzubauen, insgesamt erwirtschafteten die kompromittierten Rechner etwa 5,5 XMR täglich. Im Laufe dieser Zeit erreichten sie Ende August damit einen Wert von 420 XMR. Bezieht man den Wechselkurs von 150 US-Dollar/XMR mit ein, dann ergeben sich umgerechnet rund 825 US-Dollar pro Tag, was einem Gesamtwert von 63.000 US-Dollar über den gesamten Zeitraum entspricht.
Wenig Aufwand, maximaler Ertrag
Die Hacker kommen bei dieser Aktion schon „mit geringem Aufwand“ und „minimalen Fähigkeiten“ zum gewünschten Erfolg. Man benutzte hier eine legitime Open-Source-Mining-Software namens xmrig. Die Angreifer mussten lediglich noch eine fest kodierte Befehlszeile mit ihrer Crypto-Wallet-Adresse und ihrer Mining-Pool-URL zum ursprünglichen Code der Software hinzuzufügen. So richteten nur wenige Minuten an investierter Zeit einen großen finanziellen Schaden mit Krypto-Mining mit Monero an.
Microsoft hat den regulären Update-Support für Windows Server 2003 im Juli 2015 eingestellt. Man hat den Patch für diese spezifische Sicherheitslücke erst im Juni 2017 veröffentlicht. Und dies erst nachdem mehrere schwerwiegende Lücken für ältere Systeme von Malware-Entwicklern entdeckt wurden. Trotz des End-of-Life-Status des Systems hat Microsoft diese kritische Sicherheitslücke geschlossen, um großflächige Angriffe – wie etwa bei der WannaCry-Attacke im Mai 2017 – zu vermeiden, dennoch wären aber noch viele Server ungepatcht.
Systeme ohne Update angegriffen
Hier hat man allerdings offenbar gezielt nicht gepatchte, alte Systeme angegriffen. Es wäre auch nicht garantiert, dass automatische Updates immer einwandfrei funktionieren: „Eine erhebliche Zahl von Systemen sind immer noch verwundbar. Deshalb sollten Nutzer von Windows Server 2003 unbedingt das Sicherheitsupdate KB3197835 sowie weitere kritische Patches so schnell wie möglich installieren. Zur Not manuell“, so Kálnai.
Derartige Aktionen liegen derzeit voll im Trend krimineller Aktivitäten. Gerade an diesem Beispiel erkennt man, dass bereits minimales Knowhow gepaart mit niedrigen laufenden Kosten sowie einer niedrigen Gefahr erwischt zu werden, zu einem relativ hohen Ertrag führen kann. So hat sich laut der Sicherheitsabteilung von IBM das Aufkommen derartiger Mining-Malware seit Jahresbeginn versechsfacht.
Bildquelle: geralt, thx! (CC0 Public Domain)
Tarnkappe.info