Cryptominer-Malware

Threat-Spotlight: Neue Cryptominer-Malware-Variante

Druckfreundlich, PDF & E-Mail

Eine neue Variante der Kryptominer-Malware, die unter dem Namen Golang bekannt ist, zielt sowohl auf Windows- als auch auf Linux-Rechner ab. Obwohl das Volumen der Angriffe gering ist, da die Variante noch so neu ist, haben Barracuda-Experten bisher sieben Quell-IP-Adressen beobachtet, die mit dieser Malware in Verbindung stehen, alle mit Sitz in China. Anstatt Endbenutzer ins Visier zu nehmen, greift diese neue Malware Server an.

Hier finden Sie eine nähere Betrachtung dieser aufkommenden Bedrohung sowie Lösungen zur Erkennung, Abwehr und Behebung der Angriffe.

Bedrohung im Fokus

Neue Variante der „Golang“-Malware Diese neue Malware-Variante greift Webanwendungs-Frameworks, Anwendungsserver und Nicht-HTTP-Services wie Redis und MSSQL an. Ihr Hauptziel ist es, die Kryptowährung Monero mithilfe des bekannten Miners XMRig zu minen. Die Malware verbreitet sich als Wurm, der andere anfällige Rechner ausfindig macht und infiziert.

Frühere Varianten dieser Malware zielten nur auf Linux-Rechner ab, aber diese neue Iteration greift auch Windows-Rechner an und nutzt einen neuen Pool von Exploits. Beispielsweise zielen einige der in der Malware enthaltenen Exploits auf das in China beliebte ThinkPHP-Webanwendungs-Framework ab. Ähnlich wie bei anderen Malware-Familien kann man davon ausgehen, dass sich diese Malware ständig weiterentwickelt und immer mehr Exploits ausnutzt.

Anstatt auf Endbenutzer abzuzielen, konzentriert sich diese #Malware stattdessen auf Angriffe auf Server. Hier erfahren Sie, was Sie tun können, um Ihr Unternehmen zu schützen. #cryptominingZum Tweeten hier klicken

Die Details

Sobald die Malware einen Rechner infiziert, lädt er die folgenden Dateien herunter, die abhängig von der angegriffenen Plattform angepasst werden. Die Angriffe folgen jedoch dem gleichen Schema, zu dem ein anfänglicher Payload, ein Update-Skript, ein Miner, ein Watchdog, ein Scanner und eine Konfigurationsdatei für den Kryptominer gehören. Bei Windows-Rechnern fügt die Malware außerdem einen Backdoor-Benutzer hinzu.

Linux Windows Beschreibung
init.sh

4cc8f97c2bf9cbabb2c2be292886212a

init.ps1

ebd05594214f16529badf5e7033054aa

Das Init-Skript wird als Teil des anfänglichen Payloads ausgeführt.
update.sh

4cc8f97c2bf9cbabb2c2be292886212a

update.ps1

ebd05594214f16529badf5e7033054aa

Das Update-Skript, das identisch mit dem Init-Skript ist, wird als geplante Aufgabe ausgeführt.
Sysupdate

149c79bf71a54ec41f6793819682f790

sysupdate.exe

97f3dab8aa665aac5200485fc23b9248

Der Kryptominer basiert auf dem bekannten XMRig-Miner, einem Open-Source-Tool.
Sysguard

c31038f977f766eeba8415f3ba2c242c

sysgurard.exe

ba7fe28ec83a784b1a5437094c63182e

Der Watchdog stellt sicher, dass Scanner und Miner laufen und alle Komponenten auf dem neuesten Stand sind.
networkservice

8e9957b496a745f5db09b0f963eba74e

networkservice.exe

a37759e4dd1be906b1d9c75da95d31a2

Der Scanner durchsucht das Internet nach anfälligen Rechnern und infiziert sie mit der Malware.
N/A clean.bat

bfd3b369e0b6853ae6d229b1aed410a8

Dieses Skript wird nur auf Windows-Rechnern verwendet und fügt dem System einen Backdoor-Benutzer hinzu.
config.json

c8325863c6ba60d62729decdde95c6fb

config.json

c8325863c6ba60d62729decdde95c6fb

Dies ist die Konfigurationsdatei des Kryptominers.

Init/update scripts

Die Init- und Update-Skripts haben auf jeder Plattform den gleichen Inhalt. Sie werden sowohl für die Installation der Malware als auch für die Aktualisierung ihrer Komponenten verwendet. Das Init-Skript wird als Teil des anfänglichen Payloads ausgeführt, und das Update-Skript wird als geplante Aufgabe (cron in Linux) ausgeführt.

Das Init-Skript für Linux ist aggressiv: Es entfernt konkurrierende Miner und Malware, blockiert Ports, fügt Backdoor-Schlüssel hinzu und deaktiviert SELINUX. Das Windows-Init-Skript führt ein paar grundlegende Schritte aus, die nicht so ausgefeilt sind wie das Init-Skript für Linux. Da dieses Skript in früheren Varianten nicht gefunden wurde, gehen Forscher davon aus, dass die Ausrichtung auf Windows eine neue Ergänzung zu dieser Malware ist.

Miner – sysupdate/sysupadte.exe

Der Kryptominer basiert auf dem bekannten XMRig-Miner, einem Open-Source-Tool. Die Konfigurationsdatei ist config.json.

Watchdog – sysguard/sysgurad.exe

Der Watchdog stellt sicher, dass der Scanner und Miner laufen und alle Komponenten auf dem neuesten Stand sind. Wenn er keine Verbindung zum Command-and-Control-Server herstellen kann, versucht er, die Adresse eines neuen Servers durch Parsen von Transaktionen auf einem bestimmten Ethereum-Konto abzurufen.

Der Watchdog ist in Go geschrieben (mit UPX gestrippt und komprimiert).

Backdoor-Benutzer – Clean.bat

Dieses Skript wird nur auf Windows-Rechnern verwendet und fügt dem System einfach einen weiteren Benutzer hinzu. Die Init/Update-Skripts für Linux-Systeme führen einen ähnlichen Schritt aus, indem sie dem System einen autorisierten SSH-Schlüssel hinzufügen.

Scanner – networkservice/networkservice.exe

Die in Go geschriebene (mit UPX gestrippte und komprimierte) Scanner-Komponente verbreitet die Malware, indem sie das Internet nach anfälligen Rechnern scannt und diese mit der Malware infiziert. Der Scanner generiert einfach eine zufällige IP (wobei 127.x.x.x, 10.x.x.x und 172.x.x.x gemieden werden) und versucht, den zugehörigen Rechner anzugreifen.

Nach einer erfolgreichen Übernahme erstattet er dem Command-and-Control-Server Bericht, hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/ReportSuccess/<IP>/<Exploit type>.

Der Scanner meldet außerdem seinen Fortschritt an den Command-and-Control-Server,

hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/Iamscan/<scan count>

Schützen Sie Ihre #Windows- und #Linux-Rechner vor diesen gezielten Angriffen. Die #Malware verbreitet sich als Wurm, der andere anfällige Rechner sucht und infiziert.Zum Tweeten hier klicken

Exploits der neuen Kryptominer-Malware-Variante

Anbieter Ports CVE Beschreibung
Orcale WebLogic 7001/7002 CVE-2017-10271 Die Malware wird versuchen, CVE-2017-10271 auszunutzen und Payloads sowohl für Windows als auch für Linux zu platzieren.

 

ElasticSearch 9200 CVE-2015-1427 CVE-2014-3120 Die Malware wird versuchen, sowohl CVE-2015-1427 als auch CVE-2014-3120 auszunutzen und eine Payload für Linux zu platzieren.

 

Drupal N/A CVE-2018-7600 Dieser Exploit scheint deaktiviert zu sein, ist aber nach wie vor im Code vorhanden. Der Exploit verwendet CVE-2018-7600 und platziert eine Payload für Linux.

 

ThinkPHP 80/8080 CVE-2018-20062, N/A Die Malware wird versuchen, zwei Schwachstellen im ThinkPHP-Framework auszunutzen und Payloads sowohl für Windows als auch für Linux zu platzieren.
Hadoop 8088 N/A Die Malware wird mithilfe dieses Exploits Payloads für Linux platzieren.
Redis 6379/6380 N/A Zunächst versucht sie, falls erforderlich, Anmeldeinformationen zu finden (Wörterbuchangriff). Wenn dies erfolgreich ist, wird eine bekannte Methode zum Erreichen von RCE verwendet, indem die db-Datei im cron-Pfad abgelegt wird.
MSSQL 1433 N/A Die Malware versucht zunächst, die Anmeldedaten (Wörterbuchangriff) für den mssql-Server zu finden. Wenn dies erfolgreich ist, platziert sie eine Payload für Windows.
IoT-Geräte N/A N/A Dieser Exploit scheint deaktiviert zu sein, ist aber nach wie vor im Code vorhanden. Der Exploit zielt auf IoT-Geräte (CCTV) ab.

So schützen Sie sich vor diesen Angriffen

Es gibt ein paar wichtige Schritte, die Sie zum Schutz vor dieser Malware-Variante unternehmen können.

Web Application Firewall Gehen Sie sicher, dass Sie über eine ordnungsgemäß konfigurierte Webanwendungs-Firewall verfügen. Diese Malware-Variante verbreitet sich, indem sie das Internet nach anfälligen Rechnern durchsucht. Viele Organisationen übersehen die Anwendungssicherheit, doch sie ist nach wie vor ein Top-Bedrohungsvektor, den Cyberkriminelle auszunutzen suchen.

Bleiben Sie in Sachen Patches auf dem Laufenden Wie diese Malware zeigt, scannen Cyberkriminelle ständig nach Schwachstellen, die sie ausnutzen können. Wenn Sie bei Sicherheits-Patches und Updates auf dem Laufenden bleiben, ist Ihr Unternehmen diesen Bedrohungen immer einen Schritt voraus.

Systeme auf verdächtige Aktivitäten überwachen Wenn Sie wissen, wie diese Malware-Variante funktioniert, können Sie die Windows- und Linux-Server Ihres Unternehmens auf diese Art von Aktivitäten überwachen, sodass Sie eventuelle Angriffe so schnell wie möglich beheben können. Vergewissern Sie sich, dass Sie über eine Lösung verfügen, um diese Art von Aktivitäten zu überwachen, und klären Sie Ihr Sicherheitsteam über die entsprechenden Warnzeichen auf.

Sehen Sie sich das Webinar an, um mehr über diese Bedrohung zu erfahren

Nach oben scrollen
Twittern
Teilen
Teilen