Search

Forscher enthüllen die hinterhältigen Taktiken des Krypto-Bergbaubotnets

Die Cyberkriminellen hinter dem Krypto-Mining-Botnet Stantinko haben einige ausgeklügelte Methoden entwickelt, um der Entdeckung zu entgehen.

Der Malware-Analyst Vladislav Hrčka von der Cybersicherheitsfirma ESET klang fast beeindruckt, als er in einem Blogbeitrag die neuesten Erkenntnisse der Firma und mögliche Gegenmaßnahmen vorstellte. „Die Kriminellen hinter dem Stantinko-Botnetz verbessern und entwickeln ständig neue Module, die oft nicht standardisierte und interessante Techniken enthalten“, schrieb er.

Das eine halbe Million Mal starke Botnetz ist seit 2012 aktiv und wurde über Malware verbreitet, die in raubkopierte Inhalte eingebettet ist. Es richtet sich vor allem an Nutzer in Russland, der Ukraine, Belarus und Kasachstan. Ursprünglich konzentrierte sich das Botnetz auf Klickbetrug, Ad Injection, Betrug in sozialen Netzwerken und Angriffe auf Passwortdiebstahl. Mitte 2018 wurde jedoch mit dem Monero-Mining-Modul das Arsenal um Krypto-Mining erweitert.

Task Manager wird Ihnen nicht helfen

Das Modul verfügt über Komponenten, die Sicherheitssoftware erkennen und alle konkurrierenden Krypto-Mining-Operationen abschalten. Das leistungshungrige Modul erschöpft die meisten Ressourcen einer kompromittierten Maschine, aber es setzt den Abbau geschickt aus, um eine Erkennung in dem Moment zu vermeiden, in dem ein Benutzer den Task-Manager öffnet, um herauszufinden, warum der PC so langsam läuft.

CoinMiner.Stantinko kommuniziert nicht direkt mit dem Mining-Pool, sondern verwendet stattdessen Proxys, deren IP-Adressen aus dem Beschreibungstext von YouTube-Videos gewonnen werden.

Ständig verfeinerte Techniken

ESET veröffentlichte seinen ersten Bericht über das Krypto-Mining-Modul im November letzten Jahres, aber seitdem wurden neue Techniken hinzugefügt, um der Entdeckung zu entgehen, darunter

  1. Verschleierung von Strings – sinnvolle Strings werden konstruiert und sind nur dann im Speicher vorhanden, wenn sie verwendet werden sollen.
  2. Tote Strings und Ressourcen – Hinzufügen von Ressourcen und Strings ohne Auswirkung auf die Funktionalität
  3. Kontrollfluss-Verschleierung – Umwandlung des Kontrollflusses in eine schwer lesbare Form, die die
  4. Ausführungsreihenfolge der Basisblöcke unvorhersehbar macht
  5. Toter Code – Code, der nie ausgeführt wird und dessen einziger Zweck darin besteht, die Dateien legitimer aussehen zu lassen.
  6. Do-nothing code – Hinzufügen von Code, der zwar ausgeführt wird, aber nichts tut. Dies ist eine Möglichkeit,
  7. Verhaltenserkennungen zu umgehen
  8. Im Bericht vom November wurde Hrčka festgestellt:

„Die bemerkenswerteste Eigenschaft dieses Moduls ist die Art und Weise, wie es verschleiert wird, um die Analyse zu vereiteln und eine Entdeckung zu vermeiden. Aufgrund der Verwendung von Verschleierungen auf Quellenebene mit einem Körnchen Zufälligkeit und der Tatsache, dass Stantinkos Operatoren dieses Modul für jedes neue Opfer zusammenstellen, ist jede Probe des Moduls einzigartig.

Web-basierte Kryptobuchung nimmt nach dem Herunterfahren von Coinhive ab

In diesem Zusammenhang haben Forscher der Universität von Cincinnati und der Lakehead-Universität in Ontario, Kanada, diese Woche ein Papier mit dem Titel „Ist Krypto-Entführung nach Abschaltung der Münzen tot?“

Das Coinhive-Skript wurde in Websites installiert und entweder offen oder heimlich Monero abgebaut – bis ein großer Preisverfall von Monero während des „Krypto-Winters“ das Unternehmen unrentabel machte und die Operation eingestellt wurde.

Frau mit Bitcoin in der Hand

Die Forscher überprüften 2770 Websites, auf denen zuvor Krypto-Mining-Skripte ausgeführt worden waren, um zu sehen, ob sie noch immer infiziert waren. Während nur 1 % aktiv Krypto-Währung abbauten, führten weitere 11,6 % noch Coinhive-Skripte aus, die versuchten, sich mit den toten Servern der Operation zu verbinden.

Die Forscher kamen zu dem Schluss:

„Das Cryptojacking endete nicht, nachdem Coinhive abgeschaltet worden war. Es ist immer noch lebendig, aber nicht mehr so ansprechend wie zuvor. Es verlor nicht nur an Attraktivität, weil Coinhive seinen Dienst eingestellt hat, sondern auch, weil es für die Website-Betreiber zu einer weniger lukrativen Einnahmequelle wurde. Für die meisten Websites sind Anzeigen immer noch rentabler als der Bergbau“.