Monero: Hacker nutzen Mining-Malware für Windows-Server

Article by · 9. Oktober 2017 ·

Die Sicherheitsforscher des Security-Software-Herstellers Eset haben eine Malware entdeckt, die Microsoft-Server infiziert und die es Hackern erlaubt, die Kryptowährung Monero (XMR) für sich zu schürfen, heißt es in einer Pressemitteilung des Unternehmens. So würden Cyberkriminelle die Open-Source-Mining-Software von Monero für ihre Zwecke modifizieren, um eine bekannte Sicherheitslücke in Microsoft IIS 6.0 auszunutzen.

Ebenso wie bei Bitcoin, gibt es auch bei Monero die Möglichkeit, weiteres Geld zu schöpfen. Allerdings ist dieser als «Mining» bekannte Vorgang immens rechen- und somit stromintensiv. Deshalb ist es für Kriminelle attraktiv, die Mining-Software auf fremden Rechnern laufen zu lassen. In diesem Fall kompromittierten Angreifer zur Durchführung der Attacke ungepatchte Windows Webserver mit einem schädlichen Kryptowährungs-Miner mit dem Ziel, die Computerpower der Server anzuzapfen, um die Kryptowährung Monero (XMR) für sich zu schürfen. Das Wort Monero ist der Sprache Esperanto entnommen und bedeutet „Währung“ oder „Münze“ und zählt zu den neueren Kryptowährungsalternativen.

Die von den Angreifern ausgenutzte Sicherheitslücke wurde bereits im März 2017 von Zhiniang Peng und Chen Wu entdeckt. Hier könnten Unbefugte Schadcode aus der Ferne einschleusen und ausführen oder zumindest ein Denial-of-Service verursachen. Demnach steckt der eigentliche Fehler – ein Pufferüberlauf – in der WebDAV-Komponente der Microsoft Internet Information Services (IIS) Version 6.0. Neuere Versionen des Webservers sind nicht betroffen. Die Sicherheitslücke wäre besonders anfällig für Ausnutzungen, da sie sich innerhalb eines Webserver-Services befindet, der in den meisten Fällen vom Internet aus erreichbar ist und von praktisch jedem bedient werden kann. Die Sicherheitsforscher von ESET gehen davon aus, dass die Cyberkriminellen bereits seit Mai 2017 agieren.

Peter Kálnai, Malware Researcher bei ESET, klärt uns über die Hintergründe auf, warum gerade Monero so interessant für die Hacker ist: „Auch wenn die Kryptowährung noch nicht so verbreitet ist wie Bitcoin, gibt es mehrere gute Gründe, warum sich Angreifer auf Monero spezialisieren. Funktionen, wie nicht zurückverfolgbare Transaktionen und der Proof-of-Work-Algorithmus CryptoNight, der die zentrale Recheneinheit eines Computers oder Servers bevorzugt, machen Monero zu einer attraktiven Alternative für Cyberkriminelle. Im Vergleich dazu wird für Bitcoin-Mining spezielle Mining-Hardware benötigt.“

In nur drei Monaten ist es den Hackern gelungen, ein Botnet von mehreren hundert infizierten Servern aufzubauen, insgesamt erwirtschafteten die kompromittierten Rechner etwa 5,5 XMR täglich. Im Laufe dieser Zeit erreichten sie Ende August damit einen Wert von 420 XMR. Bezieht man den Wechselkurs von 150 US-Dollar/XMR mit ein, dann ergeben sich umgerechnet rund 825 US-Dollar pro Tag, was einem Gesamtwert von 63.000 US-Dollar über den gesamten Zeitraum entspricht.

Die Hacker kommen bei dieser Aktion schon “mit geringem Aufwand” und “minimalen Fähigkeiten” zum gewünschten Erfolg. Da hier eine legitime Open-Source-Mining-Software namens xmrig genutzt wurde, war es für die Angreifer lediglich noch notwendig, eine fest kodierte Befehlszeile mit ihrer Crypto-Wallet-Adresse und ihrer Mining-Pool-URL zum ursprünglichen Code der Software hinzuzufügen. So richteten nur wenige Minuten an investierter Zeit einen großen finanziellen Schaden mit Krypto-Mining an.

Microsoft hat den regulären Update-Support für Windows Server 2003 im Juli 2015 eingestellt und den Patch für diese spezifische Sicherheitslücke erst im Juni 2017 veröffentlicht, nachdem mehrere schwerwiegende Lücken für ältere Systeme von Malware-Entwicklern entdeckt wurden. Trotz des End-of-Life-Status des Systems hat Microsoft diese kritische Sicherheitslücke geschlossen, um großflächige Angriffe – wie etwa bei der WannaCry-Attacke im Mai 2017 – zu vermeiden, dennoch wären aber noch viele Server ungepatcht. Hier wurden allerdings offenbar gezielt nicht gepatchte, alte Systeme angegriffen. Es wäre auch nicht garantiert, dass automatische Updates immer einwandfrei funktionieren: „Eine erhebliche Zahl von Systemen sind immer noch verwundbar. Deshalb sollten Nutzer von Windows Server 2003 unbedingt das Sicherheitsupdate KB3197835 sowie weitere kritische Patches so schnell wie möglich installieren – zur Not manuell“, so Kálnai.

Derartige Aktionen liegen derzeit voll im Trend krimineller Aktivitäten. Gerade an diesem Beispiel erkennt man, dass bereits minimales Knowhow gepaart mit niedrigen laufenden Kosten sowie einer niedrigen Gefahr erwischt zu werden, zu einem relativ hohen Ertrag führen kann. So hat sich laut der Sicherheitsabteilung von IBM das Aufkommen derartiger Mining-Malware seit Jahresbeginn versechsfacht.

Bildquelle: geralt, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

Flattr this!


    Leave a comment