Business Security, Verschlüsselung & Datensicherheit

Crypto-Malware nutzte NSA-Exploit

Ziel der neuen Angriffe sind Windows Server. Zum Einsatz kommt dabei eine besonders ausgeklügelte, mehrstufige Attacke. Laut Analysen von Sicherheitsexperten wird dabei der NSA-Exploit Eternal Blue ausgenutzt. Wie weit die Angriffe verbreitet sind und wer konkret betroffen wurde, ist nicht bekannt.

Komplexe Angriffsmechanismen

Krypto-Mining Angriffe waren bislang von einfachen Angriffen gekennzeichnet, die die Ressourcen befallener Rechner nutzt. Nun gab es eine Attacke unter Verwendung des NSA-Exploit EternalBlue, wie zdnet.de unter Berufung auf die Sicherheitsexperten von Imperva berichtete.

Der mehrstufige Cryptojacker  RadisWannaMine hat es auf Windows Server abgesehen. Dessen wurmartige Verbreitung in Verbindung mit komplexen Angriffs-Mechanismen sorgt für eine hohe Infektionsrate und somit auch für hohe Erträge der kriminellen Angreifer.

Die Funktionsweise des hochentwickelten Schädlings

Wie es weiter dazu heißt, wird nach der Infektion eines Ziels mit Malware CVE-2017-9805, ein Leck in Apache Struts ausgenutzt, das das Struts REST Plugin mit XStream Handler betrifft. Nach erfolgreichem Angriff kann der Angreifer remote beliebigen Code ohne Authentifizierung auf dem Application-Server ausführen.

Diese Verwundbarkeit nutzen die Angreifer um einen Shell-Befehl auszuführen, der die Mining-Malware herunter lädt. Die Sicherheitsexperten von Imperva erklären, dass der Schädling höher entwickelt ist als andere vergleichbare Clickjacker. Denn die Malware sorgt mit verschiedenen Server-Einträgen in crontab dafür, dass sie auf den betroffenen Systemen bleibt. Über einen neuen SSH-Key in einem authorisierten Key-Sektor und in iptables stellen die Angreifer zudem dauerhaft Remote-Zugriff sicher.

So werden weitere Pakete über einen Linux Package-Manager heruntergeladen und ein GitHub-Tool, ein TCP-Port-Scanner namens masscan ist dann ebenfalls im Payload enthalten. Dann wird der Prozess redisscan gestartet, der über masscan nach verwundbaren Redis-Servern sucht und diese dann wiederum infiziert. Anschließend wird über den Prozess ebscan durchgeführt, um damit ebenfalls über masscan öffentlich zugänglich Windows-Server zu suchen und zu infizieren, die für die EternalBlue-Lücke verwundbar sind.

EternalBlue

EternalBlue ist ein Exploit, der von dem US-Auslandsgeheimdienst National Security Agency (NSA) entwickelt wurde und von der Gruppe Shadow Brokers 2017 geleakt wurde. Dieser Exploit wurde auch in der WannaCry-Ransomware-Kampagne eingesetzt, die weltweit Organisationen befallen hatte und damit hohe wirtschaftliche Schäden verursachte.

Das „Geschäftsmodell“ Cryptjacking

Ist es dem Schädling RedisWannaMine erfolgreich gelungen Server zu infizieren beginnt das eigentliche Cryptocurrency-Mining-Script zu arbeiten. Die abgezapften Kryptowährungen werden dann, kontrolliert von den Angreifern in ein Wallet geschleust. In welchem Umfang diese Methode um sich gegriffen hat und wer konkret betroffen ist wurde von Imperva nicht mitgeteilt.

Kaspersky hatte vor wenigen Tagen bereits erklärt, dass Hacker vermehrt auf Cryptjacking umschwenken, weil dieses „Geschäftsmodell“ offenbar für die Betreiber weniger Risiko birgt.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben