(Sean Gallagher, Senior Threat Researcher, Sophos)
Sophos hat heute neue Erkenntnisse über den Tor2Mine Cryptominer veröffentlicht.
Die Analyse “Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript“ zeigt, wie der Miner sich der Erkennung entzieht, sich automatisch in einem Zielnetzwerk ausbreitet und immer schwieriger von einem infizierten System zu entfernen ist. Tor2Mine ist ein Monero-Miner, der bereits seit mindestens zwei Jahren aktiv ist.
In der Untersuchung beschreibt Sophos neue Varianten des Miners, die ein PowerShell-Skript enthalten, das versucht, den Malware-Schutz zu deaktivieren, die Nutzlast des Miners auszuführen und Windows-Administrator-Anmeldedaten zu stehlen. Was dann passiert, hängt davon ab, ob es Cyberkriminellen gelingt, mit den gestohlenen Zugangsdaten erfolgreich Administratorrechte zu erlangen. Dieser Prozess ist bei allen untersuchten Varianten gleich.
Gelingt es den Angreifern beispielsweise, sich administrative Anmeldeinformationen zu verschaffen, können sie sich den privilegierten Zugriff sichern, den sie zur Installation der Mining-Dateien benötigen. Sie können auch das Netzwerk nach anderen Rechnern durchsuchen, auf denen sie die Mining-Dateien installieren können. Dadurch kann sich Tor2Mine weiterverbreiten und sich auf Computern im Netzwerk einnisten.
Selbst wenn die Angreifer keine administrativen Rechte erlangen können, kann Tor2Mine den Miner dennoch aus der Ferne und ohne Dateien ausführen, indem Befehle verwendet werden, die als geplante Aufgaben ausgeführt werden. In diesem Fall wird die Mining-Software aus der Ferne und nicht auf einem angegriffenen Computer gespeichert.
Ausschalten des Anti-Malware-Schutzes
Alle Varianten eint, dass sie versuchen, den Anti-Malware-Schutz auszuschalten und denselben Mining-Code zu installieren. In allen Fällen wird der Miner weiterhin Systeme im Netzwerk infizieren, bis er auf einen Malware-Schutz trifft oder vollständig aus dem Netzwerk entfernt wird.
"Das Vorhandensein von Minern wie Tor2Mine in einem Netzwerk ist fast immer ein Vorbote für andere, potenziell gefährlichere Eindringlinge. Tor2Mine ist jedoch viel aggressiver als andere Miner", sagt Sean Gallagher, Senior Threat Researcher bei Sophos. "Wenn er erst einmal in einem Netzwerk Fuß gefasst hat, ist es schwierig, ihn ohne die Hilfe von Endpoint Protection-Software und anderen Anti-Malware-Maßnahmen zu beseitigen. Da er sich von seinem ursprünglichen Angriffspunkt her ausbreitet, kann er nicht einfach durch das Patchen und Reinigen eines Systems beseitigt werden. Der Miner wird immer wieder versuchen, andere Systeme im Netzwerk neu zu infizieren, selbst wenn der Command-and-Control-Server für den Miner blockiert wurde oder offline geht. Da Kryptowährungen immer mehr an Wert gewinnen und die ständig wachsende Ransomware- und Cyberextortion-Landschaft unterstützen, ist es gut möglich, dass noch mehr und aggressivere Varianten anderer Kryptominers auftauchen.
Die Sophos Forscher:innen entdeckten auch Skripte, die eine Vielzahl von Prozessen und Aufgaben beenden. Fast alle stehen im Zusammenhang mit Crimeware, einschließlich konkurrierender Cryptominers und Clipper-Malware, die Kryptowährungs-Wallet-Adressen stiehlt.
"Miner sind eine risikoarme Möglichkeit für Cyberkriminelle, eine Schwachstelle in digitales Geld zu verwandeln, wobei das größte Risiko für ihren Geldfluss darin besteht, dass konkurrierende Miner dieselben anfälligen Server entdecken", sagt Gallagher.
Um Unternehmensnetzwerke und -Endpoints vor Kryptominern wie Tor2Mine zu schützen, empfiehlt Sophos drei elementare Maßnahmen:
- Patches für Software-Schwachstellen auf Systemen mit Internetzugang, wie z.B. Webanwendungen, VPN-Dienste und E-Mail-Server, sollten schnellstmöglich installiert werden, da dies die Wahrscheinlichkeit, Opfer von Kryptominern zu werden, deutlich verringert
- Einsatz von Anti-Malware-Produkten - Miner werden in der Regel leicht von solchen Technologien erkannt - insbesondere von solchen, die das Anti-Malware Software Interface (AMSI) von Windows nutzen, um Skripte zu erkennen, die den Malware-Schutz ausschalten sollen
- Prüfung und Beobachtung hinsichtlich ungewöhnlich hoher Auslastung der Rechenleistung, einer verringerten Computerleistung und höheren Stromrechnungen als normalerweise. Dies alles kann auf die Anwesenheit von Kryptominern im Netzwerk hinweisen kann
Kompromittierungsindikatoren für die in der Untersuchung behandelten Tor2Mine-Varianten sind auf der GitHub-Seite der SophosLabs verfügbar.