von Robert Klatt •
Kryptomining auf gehackten Servern ist profitabler als Ransomware. Hacker missbrauchen nun das EternalBlue Exploit um Windows Server zu infizieren.
Malware die Ressourcen von infizierten Rechner zum Mining verschiedener Kryptowährungen nutzt wurde bisher vor allen über einfache Angriffsvektoren verbreitet. Sicherheitsexperten des in den USA beheimateten Dienstleisters Imperva berichten nun im Unternehmensblog von einer technisch komplexen Malware, die über das NSA-Exploit EternalBlue verbreitet wird.
Der Cryptojacker mit dem Namen RedisWannaMine infiziert vor allen Windows Server, die aufgrund ihrer dauerhaften Uptime beim Mining von Kryptowährungen einen deutlichen Vorteil gegenüber Desktop-Rechnern bieten. Die Gewinne der Kriminellen sind aufgrund der sehr hohen Infektionsraten aller Wahrscheinlichkeit nach beträchtlich. Auffallend ist, dass RedisWannaMine neben der Wurm-artigen Verbreitung eine Vielzahl anderer technisch komplexer Angriffs-Vektoren einsetzt.
Die beliebten Windows Server werden von RedisWannaMine über die Apache Lücke CVE-2017-9805 infiziert. Es handelt sich dabei um einen Fehler im Apache Struts, das im XStream Handler des Struts REST Plugins auftritt. Ein erfolgreicher Angriff auf diese Lücke erlaubt es den Hackern beliebigen Code ohne weitere Authentifizierung auf dem Application-Server zu starten.
Durch einen Shell-Befehl laden die Hacker nachdem sie durch diese Lücke Zugriff auf ein System erlangt haben aus, um den eigentlichen Cryptojacker herunterzuladen. Die Analyse der Sicherheitsexperten ergab, dass die Malware im Vergleich zu anderen Cryptojackern technisch deutlich ausgereifter ist. Durch verschiedene Server-Einträge im crontab sorgt die Malware dafür, dass sie nur unter großem Aufwand von den Systemen entfernt werden kann. Außerdem sichern sich die Angreifer dauerhaften Zugriff auf die infizierten Systeme, indem sie einen neuen SSH-Key in einem autorisierten Key-Sektor anlegen.
Der Payload enthält zusätzlich noch einen TCP-Port-Scanner. Das Tool mit dem Namen masscan wird dann dazu genutzt um weitere verwundbare Redis-Server im Internet aufzuspüren und zu infizieren. Dazu wird der Prozess redisscan verwendet. Mit dem Prozess ebscan wird im weiteren Verlauf nach ungeschützten Windows-Servern gesucht, die ebenfalls infiziert werden. Des Weiteren wird auch ein Linux Package-Manager und ein GitHub-Tool auf den Systemen installiert.
EternalBlue Exploit von NSA entwickelt
Das verwendete ExternalBlue Exploit wurde ursprünglich vom US-Auslandsgeheimdienst National Security Agency (NSA) zu Spionagezwecken entwickelt. Im Jahr 2017 hat es die Gruppe Shadow Brokers in den Umlauf gebracht. Seitdem wurde das Exploit zur Verbreitung unterschiedlicher Malware eingesetzt. Den wohl größten Schaden hat dabei die Ransomware WannaCry verursacht, die im vergangenen Jahr weltweit Firmen und Organisationen befallen hat. Die wirtschaftlichen Schäden gehen dabei in die Milliarden.
RedisWannaMine startet nachdem es einen neuen verwundbaren Server infiziert hat automatisch ein Script, das Kryptowährungen generiert. Die so erzeugten Coins werden in ein von den Hintermännern kontrolliertes Wallet geleitet. Imperva machte keine Angaben dazu, wie viele Server vermutlich von der Malware infiziert wurden. Das Sicherheitsunternehmen Kaspersky teilte mit, dass eine Analyse ergab, dass Hacker vermehrt auf Kryptomining setzen. Dieses „Geschäftsmodell“ bringt im Vergleich zu bisher beliebten Ransomware höhere Gewinne bei geringeren Risiken.