Krypto-Miner attackiert Windows Server 2003 (IIS 6.0)

Kriminelle haben sich offenbar darauf spezialisiert, Krypto Miner auf Windows Server 2003-Systemen im IIS 6.0 einzuschleusen und diese für sich rechnen zu lassen. Microsoft hat bereits im Juli 2017 einen Patch bereitgestellt, der die genutzte Sicherheitslücke schließen soll.


Anzeige

Vorab: Der Support von Microsoft für Windows Server 2003 wurde bereits am 15. Juli 2015 eingestellt, d.h. es gibt keine Updates mehr. Trotzdem laufen wohl noch eine größere Anzahl an Windows Server 2003-Installationen, die per (als Web-Server) Internet erreichbar sind.

ESET entdeckt Monero-Miner auf Servern

Der europäische Security-Software-Hersteller ESET hat kürzlich eine neue Bedrohung entdeckt, die Windows Web-Server mit einer Monero-Mining-Software infiziert und zum Schürfen der Kryptowährung missbraucht. Monero ist eine Alternative zum digitalen Zahlungsmittel Bitcoin. Die Cyberkriminellen modifizieren die Open-Source-Mining-Software von Monero für ihre Zwecke, um eine bekannte Sicherheitslücke in Microsoft IIS 6.0 auszunutzen.

Im Laufe von drei Monaten haben sie durch die Kampagne ein Botnet von mehreren hundert infizierten Servern aufgebaut und Monero im Wert von über 63.000 US-Dollar anhäufen lassen. Microsoft hat inzwischen ein Update veröffentlicht, das die Sicherheitslücke schließt – aber noch immer sind viele Server ungepatcht. Die Malware-Experten von ESET gehen davon aus, dass die Cyberkriminellen bereits seit Mai 2017 agieren.

Sicherheitslücken ausnutzen

Die Angreifer fügten lediglich eine fest kodierte Befehlszeile mit ihrer Crypto-Wallet-Adresse und ihrer Mining-Pool-URL zum ursprünglichen Code der Software hinzu. Dafür benötigten sie möglicherweise nicht länger als ein paar Minuten. Das verdeutlicht, dass nur minimale Fähigkeiten und geringer Aufwand nötig sind, um mit Krypto-Mining großen finanziellen Schaden anzurichten. In diesem Fall wurde eine legitime Open-Source-Mining-Software genutzt. Zudem wurden gezielt alte Systeme angegriffen, die wahrscheinlich nicht gepatcht wurden.

Microsoft hat den regulären Update-Support für Windows Server 2003 im Juli 2015 eingestellt und den Patch für diese spezifische Sicherheitslücke erst im Juni 2017 veröffentlicht, nachdem mehrere schwerwiegende Lücken für ältere Systeme von Malware-Entwicklern entdeckt wurden. Trotz des End-of-Life-Status des Systems hat Microsoft diese kritische Sicherheitslücke im Juli mit dem Sicherheitsupdate KB319783 geschlossen, um großflächige Angriffe – wie etwa bei der WannaCry-Attacke im Mai 2017 – zu vermeiden. Weitere Informationen sowie technische Details gibt es im ESET Blog WeLiveSecurity.

Miner sind ein neuer Trend, auch auf Clients

Ich hatte im Blog ja bereits mehrfach auf ähnliche Angriffe hingewiesen. Manche Site-Betreiber lassen auch Clients von Benutzern, die die Site im Browser besuchen, per JavaScript Kryptogeld berechnen. Während PirateBay mit dem Fall aufgeflogen ist, laufen wohl einige Server unbekannt weiter. Bei Interesse: golem.de hat sich in diesem Beitrag des Themas angenommen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Krypto-Miner attackiert Windows Server 2003 (IIS 6.0)

  1. Tim sagt:

    "Miner sind ein neuer Trend, auch auf Clients"

    Die gleiche Pest wie Werbung… ganz einfach. Irgendwie "muss man doch" Geld verdienen…

    Seh ich ja auch ein… aber… na ja, das kommt dabei raus.

Schreibe einen Kommentar zu Tim Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.