Cryptojacking
Coin-Mining-Parasiten den Garaus machen
Fortsetzung des Artikels von Teil 1
Auffällige Nebeneffekte verraten Befall
Ein besonders attraktives Ziel für Kriminelle sind Infrastructure-as-a-Service-Umgebungen, da sie dort nahezu unbegrenzt Ressourcen kapern können. Oft führen Fehlkonfigurationen vor allem in Kubernetes-Clustern dazu, dass Sicherheitslücken entstehen. Ist ein System einmal infiziert, tarnt sich Cryptojacking-Malware meist so gut, dass man sie nicht erkennt. Der Befall wird nur durch die Nebeneffekte deutlich: Es kommt zu einer hohen Last, die Systeme werden langsamer, die Lüfter lauter und der Stromverbrauch steigt. In der Unternehmens-IT sollten Administratoren deshalb die Systemauslastung kontinuierlich mit einer Network-Monitoring-Lösung überwachen. Denn Cryptojacking-Malware muss mit einer Mining-Plattform kommunizieren, von der sie ihre Rechenaufgaben erhält und an die sie ihre Ergebnisse liefert. Traffic, der zum Beispiel von und zu CoinImp.com führt, deutet folglich auf einen Cryptojacking-Befall hin. Außerdem helfen Intrusion-Detection-Systeme (IDS) oder ein Security Information and Event Management (SIEM), Anomalien zu erkennen.
Wie man einen Cryptojacking-Befall wieder loswird, hängt vom Infektionsweg ab. Findet das Mining lediglich im Browser statt und wurde kein Code auf das System heruntergeladen, reicht es aus, den Browser zu schließen und neu zu starten. Allerdings sollte der Anwender nicht die Option „Alle Sessions wiederherstellen“ wählen, sonst startet auch das Mining-Script wieder. Hat allerdings eine Malware das System infiziert, ist es meist nötig, die Systeme neu aufzusetzen oder ein Back-up einzuspielen.
Mit Ad-Blockern und Proxy-Lösungen kontern
Um Cryptojacking im Browser zu verhindern, empfiehlt es sich, einen Adblocker zu installieren. Er filtert Werbung heraus und schützt dadurch vor Anzeigen, die mit einem Mining-Javascript präpariert sind. Außerdem sollte der Browser so konfiguriert sein, dass er gefährliche Webadressen via Blacklisting blockiert. Auf Unternehmensebene empfiehlt es sich, eine Enterprise-Proxy-Lösung einzusetzen. Sie kann nicht nur gefährliche URLs zentral für alle Rechner im Netzwerk blockieren, sondern auch Log Monitoring, Virenscanning und Sandboxing übernehmen. Wenn der Webtraffic SSL-verschlüsselt (Secure Socket Layer) ist, muss SSL Inspection für den Proxy eingerichtet sein. Um mobile Endgeräte zu schützen, empfiehlt es sich, ein Mobile Device Management (MDM) zu etablieren. Damit können Sicherheitsverantwortliche nahezu alle Funktionen eines Smartphones oder Tablets steuern oder einschränken.
Cryptominer-Befall zwingt zum Handeln
Auch wenn der Ressourcen-Klau zunächst harmlos erscheint, sollten Unternehmen Cryptojacking nicht auf die leichte Schulter nehmen. Ein Befall mit einem Cryptominer ist ein Alarmsignal, dass Sicherheitslücken bestehen, die eine betroffene Firma schnellstens schließen muss. Denn wer anfällig für Mining-Malware ist, ist auch durch andere Schadsoftware verwundbar. De facto haben Kriminelle bei einer erfolgreichen Cryptojacking-Attacke einen Fuß in der Tür, um weitere kriminelle Aktionen durchzuführen. Sie können zum Beispiel Bot-Netze aufbauen und für andere Zwecke weitervermieten. Beliebte Einsatzgebiete für solche Bot-Netze sind DDoS-Attacken, Spam-Kampagnen oder Klick-Betrug.
- Coin-Mining-Parasiten den Garaus machen
- Auffällige Nebeneffekte verraten Befall
- Avast-Kommentar: Das Ende von Coinhive
Lesen Sie mehr zum Thema
