Suchen

Security Kryptominer-Malware ‚Golang‘ schürft auch in Windows-Systemen

Autor / Redakteur: Dr. Klaus Gheri* / Sebastian Human

Eine neue Variante der Malware attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise Serverstrukturen. Wie ein solcher Angriff abläuft und wie man sich vor ihm schützt.

Firmen zum Thema

Auch, wenn die neue Golang-Variante bisher nur chinesische IT-Umgebungen befallen hat, muss es dabei nicht bleiben. Insbesondere, wenn es um virtuell grenzüberschreitendes Kryptomining geht.
Auch, wenn die neue Golang-Variante bisher nur chinesische IT-Umgebungen befallen hat, muss es dabei nicht bleiben. Insbesondere, wenn es um virtuell grenzüberschreitendes Kryptomining geht.
(Bild: gemeinfrei / Unsplash)

„Totgesagte leben länger!“ Ein Sprichwort, dass insbesondere für die kriminelle Cyberwelt gilt. Genauer gesagt für die Verbreitung bösartiger Schadsoftwaretypen, wie in diesem neuen Fall.

Vor gut einem Jahr trieb die Golang-Malware ihr Unwesen relativ unbemerkt und ausschließlich in Linux-basierten Netzwerken, indem sie verschiedene Web-Anwendungen für Kryptomining-Operationen anvisierte. Dann war scheinbar Ruhe: Ein Jahr später, im Juni dieses Jahres, entdeckten Sicherheitsanalysten von Barracuda, dass eine neue Variante der Schadware wieder unterwegs ist und diesmal neben Linux- auch vor Windows-Servern nicht Halt macht.

Die neue Malware-Variante greift Web-Application-Frameworks, Anwendungsserver und Nicht-HTTP-Dienste wie Redis und MSSQL an.
Ihr Hauptziel ist das Mining der Monero-Kryptowährung mit Hilfe des bekannten Minors XMRig. Die Malware verbreitet sich als Wurm, sucht und infiziert andere anfällige Rechner und nutzt einen neuen Pool von Exploits. So zielen einige der in der Malware enthaltenen Exploits auf das in China beliebte ThinkPHP-Webanwendungs-Framework ab. Wie bei anderen Malware-Familien ist davon auszugehen, dass sich diese Malware ständig weiterentwickelt und immer mehr Exploits verwendet.

Gestalten Sie mit uns die besten Fachmedien der Welt!

Die Arbeitswelt verändert sich fortlaufend und mit ihr auch die fachspezifischen Aufgabenstellungen, denen Sie sich Tag für Tag stellen. Hierbei wollen wir Sie mit unserem Fachmedien-Angebot auch zukünftig zielführend unterstützen und Ihnen Inhalte mit echtem Mehrwert liefern.

So läuft ein Angriff ab

Hat die Malware einen Rechner infiziert, lädt sie die folgenden Dateien herunter (vgl. Abb. 01 weiter unten).

Diese sind, je nach attackierter Plattform, zwar angepasst, folgen aber stets dem gleichen Schema, einschließlich einer anfänglichen Nutzlast, eines Update-Skripts, eines Miners, eines Watchdogs, eines Scanners und einer Konfigurationsdatei für den Kryptominer. Bei Windows-Rechnern fügt die Malware zudem einen Backdoor-Nutzer hinzu.

Init-/Update-Skripte

Die Init- und Update-Skripte haben auf jeder Plattform den gleichen Inhalt. Sie werden sowohl für die Installation der Malware als auch für die Aktualisierung ihrer Komponenten verwendet. Das Init-Skript wird als Teil der anfänglichen Nutzlast, das Update-Skript als geplante Aufgabe (cron in Linux) ausgeführt.

Das Init-Skript für Linux ist aggressiv, entfernt konkurrierende Miner und Malware, blockiert Ports, fügt Backdoor-Keys hinzu und deaktiviert SELINUX. Das Windows-Init-Skript führt einige grundlegende, aber weniger komplexe Schritte aus und wurde in früheren Varianten der Malware nicht entdeckt, was die Vermutung erlaubt, dass die Windows-Adressierung neu sein dürfte.

Minor - sysupdate/sysupadte.exe
Der Kryptominer basiert auf dem bekannten XMRig Miner, bei dem es sich um ein Open-Source-Tool handelt. Die Konfigurationsdatei ist config.json.

Abb. 01: Diese Dateien lädt die Malware herunter, nachdem sie ein System infiltriert hat.
Abb. 01: Diese Dateien lädt die Malware herunter, nachdem sie ein System infiltriert hat.
(Bild: Barracuda Networks)

Watchdog - sysguard/sysgurad.exe
Der in Go (gestrippt und mit UPX komprimiert) geschriebene Watchdog stellt sicher, dass Scanner und Miner betriebsbereit und alle Komponenten aktuell sind. Kann er keine Verbindung zum Command-and-Control-Server herstellen, versucht er, die Adresse eines neuen Servers zu ermitteln, indem er Transaktionen auf einem bestimmten Ethereum-Konto analysiert.

Backdoor-User - clean.bat
Dieses Skript findet nur auf Windows-Rechnern Verwendung und fügt dem System einen weiteren Nutzer hinzu. Die Init-/Update-Skripte für Linux-Systeme führen einen ähnlichen Schritt aus, indem sie dem System einen autorisierten SSH-Schlüssel hinzufügen.

Scanner - Netzwerkdienst/netzwerkdienst.exe
In Go geschrieben (mit UPX gestrippt und komprimiert), verbreitet die Scanner-Komponente die Malware, indem sie das Internet nach anfälligen Rechnern absucht und diese mit der Malware infiziert. Der Scanner generiert eine zufällige IP (vermeidet 127.x.x.x.x, 10.x.x.x.x und 172.x.x.x.x) und versucht, den Rechner dahinter anzugreifen. Nach der erfolgreichen Übernahme meldet sich die IP an den Befehls- und Kontrollserver zurück, hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/ReportSuccess/<IP>/<Exploit type>. Der Scanner meldet zudem den Fortgang an den Command-and-Control-Server zurück, hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/Iamscan/<scan count>.

Die neue Malware-Variante umfasst die folgenden Exploits (vgl. Abb. 02):

Abb. 02: Eine Übersicht über die zu erwartenden Exploits von Golang.
Abb. 02: Eine Übersicht über die zu erwartenden Exploits von Golang.
(Bild: Barracuda Networks)

So schützt man sich effektiv

Was ist nun zu tun, um sich vor Angriffen der neuen Malware zu schützen? Unternehmen sollten unbedingt die folgenden Maßnahmen durchführen:

  • 1. Richtig konfigurierte Web Application Firewall (WAF)
    Die neue Malware-Variante verbreitet sich, indem sie das Internet nach anfälligen Rechnern durchsucht. Häufig unterschätzen Unternehmen die Anwendungssicherheit, obwohl sie nach wie vor einer der beliebtesten Bedrohungsvektoren von Cyberkriminellen sind.
  • 2. Richtig konfigurierte Web Application Firewall (WAF)
    Es ist eine Binsenweisheit, kann aber dennoch nicht oft genug wiederholt werden: Cyberkriminelle suchen immer nach Schwachstellen im System. Sicherheits-Patches und -Updates sind deshalb unumgänglich.
  • 3. Überwachung der Systeme auf verdächtige Aktivitäten
    Das Verständnis über die Funktionsweise dieser neuen Malware-Variante, erlaubt eine effektive Überwachung der Windows- und Linux-Server. Die zur Verfügung stehende Lösung muss sicherstellen, diese Art gefährlicher Aktivitäten zu erkennen und entsprechende Warnzeichen sollten den IT-Security-Teams der Unternehmen bekannt sein.

* Dr. Klaus Gheri arbeitet als General Manager Network Security bei Barracuda.

(ID:46796614)