Cryptomining
Sophos veröffentlicht Bericht über Botnetz und Cryptominer MyKings
Kryptowährungen schürfen
Sophos, ein weltweit führendes Unternehmen für Cyber Security der nächsten Generation, hat seinen detaillierten SophosLabs-Bericht „MyKings: Das langsame, aber stetige Wachstum eines unerbittlichen Botnetzes “ veröffentlicht. In dieser Analyse werden die sich ständig wandelnden Angriffskomponenten des weltweit agierenden Cryptominers MyKings beschrieben.
MyKings enthält die perfekten Angriffsmethoden, die auch im SophosLabs 2020 Threat Report vorgestellt wurden: Zugriff über offene Remote-Dienste, Botnets zur Orchestrierung von Teilen des Angriffs und Living off the Land (LotL), um einer Erkennung zu entgehen, mit denen Cryptominers gelöscht werden könnten. Der Bericht befasst sich mit der Interaktion zwischen all diesen Komponenten, sowie den Kettenreaktionen und Auswirkungen auf Computersysteme.
„Von High-End- oder Nationalstaaten gesponserte Cyber-Angreifer verfügen über die Ressourcen, um Zero-Day-Exploits selbst zu kaufen oder zu entwickeln. Auf der anderen Seite verwenden Cyberkriminelle im unteren Preissegment billige oder kostenlose Builder-Kits, die in dunklen Untergrundforen verfügbar sind, aber meist nicht über die erforderlichen Fähigkeiten verfügen, um die Builder auszuführen “, sagte Gabor Szappanos, Autor des Reports und Direktor für Bedrohungsforschung bei den SophosLabs. „Die MyKings-Gruppe befindet sich zwischen diesen beiden Kategorien. Sie sind das "KMU der Cyberkriminalität". Diese Kriminellen investieren kein Geld in teure Tools, verfügen jedoch über die Fähigkeiten und die Entwicklungskraft, um Open-Source-Komponenten zu modifizieren und zu verbessern. Ihre Vorgehensweise besteht darin, viel Entwicklungszeit in die Anpassung der von ihnen verwendeten Public Domain-Tools zu investieren. Dies ist eine Erinnerung daran, dass Cyberkriminelle ihre Fähigkeiten ständig verbessern und die Verteidiger diese Denkweise für optimale Sicherheitspraktiken übernehmen sollten“.
Das Botnetz ist ein unerbittlich redundanter Angreifer, der hauptsächlich auf Windows-basierte Server abzielt, auf denen eine Vielzahl von Diensten gehostet wird: MySQL, MS-SQL, Telnet, SSH, IPC, WMI, Remotedesktop (RDP) und sogar die Server, auf denen die CCTV-Kamera ausgeführt wird. Angriffe der MyKings-Botnetzbetreiber folgen einem vorhersehbaren Muster: Das Botnetz startet zunächst eine Reihe verschiedener Angriffe auf einen Server. Nicht gepatchte Windows-Server sind dabei für eine Vielzahl von Angriffen anfällig. Ziel ist es, eine ausführbare Malware, meistens einen Trojaner namens Forshare, bereitzustellen.
Die von SophosLabs beobachteten infizierten Endpunkte beliefen sich auf insgesamt 43900 eindeutige IP-Adressen. Diese Anzahl enthält nur die Endpunkte, die eine öffentliche IP-Adresse haben. Interne Adressen wurden dabei nicht mitgezählt (über 10973 in internen NAT-Bereichen).
Zu den Ländern mit der höchsten Anzahl infizierter Wirte gehören: China, Taiwan, Russland, Brasilien, USA, Indien, Japan
Die Botnet-Angriffe spielen sich wie in einem CTF-Wettbewerb ab: Sie richten einen „Brückenkopf“ ein, beseitigen dann alle Wettbewerbsspuren, entfernen Indikatoren konkurrierender Malware-Familien und sichern dann die Tür, durch die sie eingebrochen sind.
In dieser Kill List sucht MyKings nach und versucht, die Prozesse oder Dienste einer Vielzahl von Endpoint-Security Tools zu beenden.
Redundanz ist ebenfalls Teil des MyKings-Musters und spielt eine Schlüsselrolle in seinem Persistenz-Mechanismus. MyKings besteht aus mehreren Komponenten, von denen jede ein sehr ähnliches Verfahren zur Selbstaktualisierung ausführt. Alles wiederholt sich mehrmals mit einer Vielzahl von Befehlskombinationen.
Selbst wenn die meisten Komponenten des Botnetzes vom Computer entfernt werden, können die verbleibenden Komponenten das Botnetz durch einfaches Aktualisieren wiederherstellen. All dies wird mithilfe von selbstextrahierenden RAR-Archiven und Windows-Batchdateien orchestriert. Eine der heruntergeladenen Komponenten ist ein selbstextrahierendes WinRAR-Archiv, das zwei Dateien erstellt, n.vbs und c3.bat. Diese Batch-Datei ist der Eckpfeiler von MyKings: Viele Aktivitäten konzentrieren sich auf diese einzelne Komponente.
Die Netzwerkangriffe von MyKings werden ständig weiterentwickelt und verbessert. Die Angreifer, die hinter diesem Botnetz stehen, bevorzugen die Verwendung von Open-Source- oder anderer Public-Domain-Software und verfügen über ausreichende Kenntnisse, um die vorhandenen Quellcodes anzupassen und zu verbessern.
Beispielsweise hat das Botnetz damit begonnen, mit Malware-Payloads in der Öffentlichkeit zu experimentieren und ausführbare Malware-Dateien mithilfe von Steganografie in einem Bild zu verbergen.
In diesem Beispielbild wird eine ausführbare Windows-Malware (erkennbar an den charakteristischen MZ-Header-Bytes und dem Text) in den Bilddaten eines modifizierten JPG-Foto von Taylor Swift angezeigt. Die Betreiber von MyKings haben diese harmlos aussehende Bilddatei in ein öffentliches Repository hochgeladen und dann verwendet, um ein Update für das eigene Botnetz bereitzustellen. MyKings ist nicht dazu da, lange auf einem Internet-Server zu bleiben. Die Malware nutzt u.a. den EternalBlue-Exploit und weiteren Exploits, die von den Shadow Brokers verbreitet wurden.
Wofür das alles?
Es ist unglaublich, dass all diese Anstrengungen unternommen wurden, um einen von vielen verschiedenen Monero-Cryptominern zu liefern. Der Trojaner Forshare wird dazu verwendet, um sicherzustellen, dass das Cryptomining auch ausgeführt wird.
Die Gruppe, die das Botnetz betreiben, haben Berichten zufolge bisher etwa 9.000 XMR verdient, was einem geschätzten Wert von etwa 3 Millionen US-Dollar entspricht. Das derzeitige „Einkommen“ von MyKings liegt bei ca. 300 USD pro Tag, das aber hauptsächlich nur dem momentan niedrigen Monero-Wechselkurs geschuldet ist.
