Barracuda full logo

Threat-Spotlight: Neue Cryptominer-Malware-Variante

Themen:
25. Juni. 2020
|
Erez Turjeman

Eine neue Variante der Cryptominer-Malware, bekannt als Golang, zielt sowohl auf Windows- als auch auf Linux-Rechner ab. Während das Volumen der Angriffe gering ist, weil die Variante so neu ist, haben die Forscher von Barracuda bisher sieben Quell-IP-Adressen gesehen, die mit dieser Malware in Verbindung stehen, alle mit Sitz in China. Anstatt Endbenutzer ins Visier zu nehmen, greift diese neue Malware Server an.

Hier finden Sie eine nähere Betrachtung dieser aufkommenden Bedrohung sowie Lösungen zur Erkennung, Abwehr und Behebung der Angriffe.

Bedrohung im Fokus


Neue Variante der „Golang“ -Malware Diese neue Malware-Variante greift Webanwendungs-Frameworks, Anwendungsserver und Nicht-HTTP-Dienste wie Redis und MSSQL an. Ihr Hauptziel ist es, die Kryptowährung Monero mithilfe des bekannten Miners XMRig zu minen. Die Malware verbreitet sich als Wurm, der andere anfällige Rechner ausfindig macht und infiziert.

Frühere Varianten dieser Malware zielten nur auf Linux-Rechner ab, aber diese neue Iteration greift auch Windows-Rechner an und nutzt einen neuen Pool von Exploits. Beispielsweise zielen einige der in der Malware enthaltenen Exploits auf das in China beliebte ThinkPHP-Webanwendungs-Framework ab. Ähnlich wie bei anderen Malware-Familien kann man davon ausgehen, dass sich diese Malware ständig weiterentwickelt und immer mehr Exploits ausnutzt.

Instead of targeting end users, this #malware focuses on attacking servers instead. Here’s what you can do to protect your business #cryptomining
Click To Tweet


Die Details


Sobald die Malware einen Rechner infiziert, lädt er die folgenden Dateien herunter, die abhängig von der angegriffenen Plattform angepasst werden. Die Angriffe folgen jedoch dem gleichen Schema, zu dem ein anfänglicher Payload, ein Update-Skript, ein Miner, ein Watchdog, ein Scanner und eine Konfigurationsdatei für den Kryptominer gehören. Bei Windows-Rechnern fügt die Malware außerdem einen Backdoor-Benutzer hinzu.













































LinuxWindowsBeschreibung
init.sh

4cc8f97c2bf9cbabb2c2be292886212a		init.ps1

ebd05594214f16529badf5e7033054aa		Das Init-Skript wird als Teil des anfänglichen Payloads ausgeführt.
update.sh

4cc8f97c2bf9cbabb2c2be292886212a		update.ps1

ebd05594214f16529badf5e7033054aa		Das Update-Skript, das identisch mit dem Init-Skript ist, wird als geplante Aufgabe ausgeführt.
Sysupdate

149c79bf71a54ec41f6793819682f790		sysupdate.exe

97f3dab8aa665aac5200485fc23b9248		Der Kryptominer basiert auf dem bekannten XMRig-Miner, einem Open-Source-Tool.
Sysguard

c31038f977f766eeba8415f3ba2c242c		sysgurard.exe

ba7fe28ec83a784b1a5437094c63182e		Der Watchdog stellt sicher, dass Scanner und Miner laufen und alle Komponenten auf dem neuesten Stand sind.
networkservice

8e9957b496a745f5db09b0f963eba74e		networkservice.exe

a37759e4dd1be906b1d9c75da95d31a2		Der Scanner durchsucht das Internet nach anfälligen Rechnern und infiziert sie mit der Malware.
N/Aclean.bat

bfd3b369e0b6853ae6d229b1aed410a8		Dieses Skript wird nur auf Windows-Rechnern verwendet und fügt dem System einen Backdoor-Benutzer hinzu.
config.json

c8325863c6ba60d62729decdde95c6fb		config.json

c8325863c6ba60d62729decdde95c6fb		Dies ist die Konfigurationsdatei des Kryptominers.

Init/Update-Skripts

Die Init- und Update-Skripts haben auf jeder Plattform denselben Inhalt. Sie werden sowohl für die Installation der Malware als auch für die Aktualisierung ihrer Komponenten verwendet. Das Init-Skript wird als Teil des anfänglichen Payloads ausgeführt, und das Update-Skript wird als geplante Aufgabe (cron in Linux) ausgeführt.

Das Init-Skript für Linux ist aggressiv: Es entfernt konkurrierende Miner und Malware, blockiert Ports, fügt Backdoor-Schlüssel hinzu und deaktiviert SELINUX. Das Windows-Init-Skript führt ein paar grundlegende Schritte aus, die nicht so ausgefeilt sind wie das Init-Skript für Linux. Da dieses Skript in früheren Varianten nicht gefunden wurde, gehen Forscher davon aus, dass die Ausrichtung auf Windows eine neue Ergänzung zu dieser Malware ist.

Miner - sysupdate/sysupadte.exe

Der Cryptominer basiert auf dem bekannten XMRig Miner, einem Open-Source-Tool. Die Konfigurationsdatei ist config.json.

Watchdog - sysguard/sysgurad.exe

Der Watchdog stellt sicher, dass der Scanner und Miner laufen und alle Komponenten auf dem neuesten Stand sind. Wenn er keine Verbindung zum Command-and-Control-Server herstellen kann, versucht er, die Adresse eines neuen Servers durch Parsen von Transaktionen auf einem bestimmten Ethereum-Konto abzurufen.

Der Watchdog ist in Go geschrieben (mit UPX gestrippt und komprimiert).

Backdoor-Benutzer - Clean.bat

Dieses Skript wird nur auf Windows-Rechnern verwendet und fügt dem System einfach einen weiteren Benutzer hinzu. Die Init/Update-Skripts für Linux-Systeme führen einen ähnlichen Schritt aus, indem sie dem System einen autorisierten SSH-Schlüssel hinzufügen.Scanner - networkservice/networkservice.exe

In Go geschrieben (mit UPX entfernt und komprimiert) verbreitet die Scanner-Komponente die Malware, indem sie das Internet nach anfälligen Computern durchsucht und sie mit der Malware infiziert. Der Scanner generiert einfach eine zufällige IP (vermeidet 127.x.x.x, 10.x.x.x und 172.x.x.x) und versucht, den Computer dahinter anzugreifen.

Nach einer erfolgreichen Übernahme wird es an den Command-and-Control-Server hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/ReportSuccess/<IP>/<Exploittype> Bericht erstatten.

Der Scanner meldet seinen Fortschritt auch an den Command-and-Control-Server

hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/IAMScan/<scan count>

Protect your #Windows and #Linux machines from these targeted attacks. The #malware spreads as a worm, searching and infecting other vulnerable machines
Click To Tweet


Exploits der neuen Kryptominer-Malware-Variante





























































AnbieterPortsCVEBeschreibung
Orcale WebLogic7001/7002CVE-2017-10271Die Malware wird versuchen, CVE-2017-10271 auszunutzen und Nutzlasten für Windows und Linux fallen zu lassen.

 
ElasticSearch9200CVE-2015-1427 CVE-2014-3120Die Malware wird versuchen, sowohl CVE-2015-1427 als auch CVE-2014-3120 auszunutzen und eine Nutzlast für Linux abzulegen.

 
DrupalN/ACVE-2018-7600Dieser Exploit scheint deaktiviert zu sein, ist aber nach wie vor im Code vorhanden. Der Exploit verwendet CVE-2018-7600 und löscht eine Nutzlast für Linux.

 
ThinkPHP80/8080CVE-2018-20062, N/ADie Malware wird versuchen, zwei Schwachstellen im ThinkPHP-Framework auszunutzen und Payloads sowohl für Windows als auch für Linux zu platzieren.
Hadoop8088N/ADie Malware wird mithilfe dieses Exploits Payloads für Linux platzieren.
Redis6379/6380N/AZunächst versucht sie, falls erforderlich, Anmeldeinformationen zu finden (Wörterbuchangriff). Wenn dies erfolgreich ist, wird eine bekannte Methode zum Erreichen von RCE verwendet, indem die db-Datei im cron-Pfad abgelegt wird.
MSSQL1433N/ADie Malware versucht zunächst, die Anmeldedaten (Wörterbuchangriff) für den mssql-Server zu finden. Wenn dies erfolgreich ist, platziert sie eine Payload für Windows.
IoT-GeräteN/AN/ADieser Exploit scheint deaktiviert zu sein, ist aber nach wie vor im Code vorhanden. Der Exploit zielt auf IoT-Geräte (CCTV) ab.

So schützen Sie sich vor diesen Angriffen

Es gibt ein paar wichtige Schritte, die Sie zum Schutz vor dieser Malware-Variante unternehmen können.

Web Application Firewall Stellen Sie sicher, dass Sie über eine ordnungsgemäß konfigurierte Web Application Firewall verfügen. Diese Malware-Variante verbreitet sich, indem sie das Internet nach anfälligen Rechnern durchsucht. Viele Organisationen übersehen die Anwendungssicherheit, doch sie ist nach wie vor ein Top-Bedrohungsvektor, den Cyberkriminelle auszunutzen suchen.

Halten Sie sich über Patches auf dem Laufenden Wie diese Malware zeigt, sind Cyberkriminelle immer auf der Suche nach Schwachstellen, die sie ausnutzen können. Wenn Sie bei Sicherheits-Patches und Updates auf dem Laufenden bleiben, ist Ihr Unternehmen diesen Bedrohungen immer einen Schritt voraus.

Überwachen Sie Systeme auf verdächtige Aktivitäten Wenn Sie wissen, wie diese Malware-Variante funktioniert, können Sie die Windows- und Linux-Server Ihres Unternehmens auf diese Art von Aktivitäten überwachen, damit Sie eventuelle Angriffe so schnell wie möglich abwehren können. Vergewissern Sie sich, dass Sie über eine Lösung verfügen, um diese Art von Aktivitäten zu überwachen, und klären Sie Ihr Sicherheitsteam über die entsprechenden Warnzeichen auf.

Sehen Sie sich das Webinar an, um mehr über diese Bedrohung zu erfahren

Erez Turjeman

Erez Turjeman ist leitender Software-Ingenieur und Sicherheitsexperte bei Barracuda Labs.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.