Wissen: Crypto-Mining/-Jacking erkennen und verhindern

Crypto-Mining ist auf dem Vormarsch, kaum ein Tag, an dem es nicht eine neue Meldung dazu gibt. In zwei Blog-Beiträgen möchte ich das Thema aus Sicht des Nutzers beleuchten. Was ist Crypto-Mining, was heißt Crypto-Jacking, wie kann ich Miner erkennen und wie schütze ich mich davor, dass meine Systeme ungewollt zum Minen verwendet werden.


Anzeige

Crypto-Mining, was ist das?

Zuerst eine kurze Begriffsbestimmung, damit die Nomenklatur klar ist. Unter Crypto-Mining versteht man das Schürfen von Krypto-Geld mit Computern. Das ist zuerst einmal nichts schlimmes. Es könnte ja sein, dass ich einen Miner auf meinem Computer laufen lasse, um Krypto-Geld zu schürfen. Und JavaScript-Code, um Krypto-Geld zu schürfen ist schnell in eine Webseite eingebaut.

Und es gibt Ansätze, dass Leute das Minen zum Kompensieren für Leistungen anbieten. Kürzlich ging ein Fall durch die Presse, wo eine Website Besuchern mit AdBlockern anbot, stattdessen einen Monero Crypto-Miner laufen zu lassen. Solange das transparent geschieht, ist das kein Problem.

Crypto-Jacking, die dunkle Seite der Geschichte

Kommen wir zum Thema Crypto-Jacking. Dieser Begriff steht für den Ansatz, die Rechenleistung eines Systems heimlich bzw. gegen den Willen des Besitzers für das Schürfen von Krypto-Geld zu nutzen (Jacking heißt entführen). Blog-Leser Malte, der den zweiten Teil der Artikelreihe als Gastbeitrag verfasst hat, gab mir folgende Definition:

Cryptojacking bezeichnet vor allem das illegale Einbinden von Javascript-basierten Minern wie z.B. Coinpot, Coinhive, Cryptoloot usw. [ggf. durch Dritte], um die Ressourcen der Nutzer zu stehlen und somit den größtmöglichen Profit zu erzielen.

Der Angriff kann im Browser, in Apps, in Programmen oder per Script – z.B. auf Servern erfolgen. Auf Servern müssen deren Administratoren durch geeignete Maßnahmen sicherstellen, dass Crypto-Miner nicht unbeabsichtigt installiert werden. Hier im Blog laufen z.B. diverse Plugins mit, die vor Malware schützen sollen.

Crypto-Jacking im Trend

Leider müssen wir uns künftig vermehrt auf Angriffe durch Crypto-Jacking einstellen. The Register hat Anfang Februar 2018 den Artikel Good news, everyone: Ransomware declining. Bad news: Miscreants are turning to crypto-mining on infected PCs veröffentlicht. Tenor: Ransomware dürfte in der Bedeutung 2018 abnehmen (die verdienen zu wenig damit). Aber Crypto-Mining (und damit einhergehend Crypto-Jacking) wird rasend zunehmen.

Auch von Check Point liegt mir eine Info vor, dass deren Global Threat Index im Januar einen weiteren Anstieg bei Cryptomining-Malware zeigt. Die rasante Verbreitung von Cryptomining-Malware macht Unternehmen schwer zu schaffen. Kryptominer-Schädlinge, die auf Coinhive-JavaScripte aufsetzen, waren demnach für 23 Prozent aller Infektionen verantwortlich.

Check Points Forscher entdeckten bei ihrem Ranking der 10 im Januar 2018 häufigsten auftretenden Malware-Arten drei verschiedene Varianten von Cryptomining-Malware, wobei Coinhive für die meisten Infektionen insgesamt maßgebend ist. Dabei betreibt der Schädling Online-Mining mit der Cryptowährung Monero. Die Infektion geschieht nach dem Anklicken einer verseuchten Internetseite. Das integrierte JavaScript nutzt dann die Rechenressourcen der Endnutzer-Maschinen, um Coins zu schürfen und beeinträchtigt so die Systemleistung. Die vollständige Liste der Top 10 der Malware-Familien im Januar finden Sie im Check-Point-Blog.

Test auf Crypto-Miner im Browser

Ob ein Browser für Crypto-Mining anfällig ist, kann man mit einem sehr einfachen Test herausfinden. Ich hatte im Blog-Beitrag Ist dein Browser für Crypto-Mining anfällig? auf die Möglichkeit hingewiesen, den Browser auf Anfälligkeit gegenüber Crypto-Jacking prüfen zu lassen.


Anzeige

cryptojackingtest.com

Opera hat dazu die Webseite cryptojackingtest.com aufgesetzt. Aber ich möchte einen Schritt weiter gehen. Womöglich will sich der eine oder andere Leser (oder Leserin) selbst ein Gefühl dafür verschaffen, wie sich ein Crypto-Miner, der heimlich als Crypto-Jacker im Browser mitläuft, anfühlt.

Ich könnte jetzt eine entsprechende Testseite hier im Blog aufsetzen. Seit ich aber mal über einen Pishing-Versuche detailliert berichtete und dann durch irgendwelche dummen Algorithmen, die durch Leerzeichen deaktivierte Links als gefährlich einstuften, auf Blacklists gelandet sind, hält sich mein Experimentierwille diesbezüglich in Grenzen. Wer Crypto-Mining im Browser für Tests laufen lassen möchte, wird auf dieser Webseite (entfernt) fündig.

CPU-Auslastung durch Crypto-Miner im Browser

Sobald man die obige Webseite aufruft, beginnt ein Monero Miner zu schürfen – was ja Zweck der Testseite ist. Ruft man unter Windows den Task-Manager auf, erkennt man in der CPU-Auslastung der Tasks, dass der Miner heftig aktiv ist. In obigem Bild belegt der Chrome-Prozess 98% der CPU-Leistung. Über den Task-Manager kann man also schon erkennen, ob ein Miner aktiv ist. Der Task lässt sich auch über den Task-Manager beenden. Im Blog von Malwarebytes befasst sich dieser Artikel ebenfalls mit der Thematik.

Was kann ich gegen Crypto-Jacking tun?

Im Hinblick auf einen Schutz gegen Crypto-Jacking im Browser könnte man auf den Opera-Browser ausweichen. Dieser hat ja in aktuellen Versionen einen Schutz eingebaut. Für den Firefox-Browser gibt es z.B. das Miner Blocker Plugin. Auch für Google Chrome steht die Erweiterung Miner-Blocker (gelöscht) zur Verfügung. Der Autor hat diese Github-Seite zum Blocker angelegt.

Das Plugin NoMiner verspricht für den Firefox den gleichen Schutz vor Minern. Bei Quarz gibt es einen Artikel zum Thema, der Blocker empfiehlt. Interessant ist ein englischsprachiger AVAST Blog-Beitrag, der ebenfalls diese Erweiterungen für den Browser empfiehlt. Wer mit AdBlockern arbeitet, könnte die folgende URL blockieren

https: / / coinhive [dot] com / lib / mine r. min[.]js

wie dieser Beitrag skizziert (die [] und Blanks in obiger URL habe ich eingeführt, damit die Virenscanner im Blog wegen des vermeintlichen Miners nicht anschlagen). Weiterhin gibt es Tools wie die AdGuard Desktop-App für Windows, die nach einer Installation eine Warnung vor Minern anzeigen (siehe).

Bei jedem dieser Tools, die installiert werden, sollte man sich vorher aber schlau machen, ob das wirklich das tut, was es verspricht. Es ist davon auszugehen, dass auch 'böse Buben' bald Minerblocker mit Beifang für arglose Benutzer bereitstellen. Eine Websuche und Studium der Bewertungen kann da weiter helfen.

Da Crypto-Jacking auch über Anwendungen, installiere Malware oder Apps erfolgen kann, empfehlen Fachleute das Blockieren der öffentlichen Adressen der Miner-Pools im Netzwerk. The Hacker News hat hier einen Artikel zum Thema publiziert. Dort findet man auch Miner-Adressen.

Eine Möglichkeit, diese Miner-Pool-Adressen auf einer Maschine zu blocken, bietet die Datei hosts (siehe auch diesen Artikel). Unter Windows findet sich diese unter %windir%\system32\drivers\ – ist aber nur für Administratoren zugänglich. Auf WindowsPro findet sich dieser Artikel mit ein paar Hinweisen zur Hosts-Datei. Blog-Leser Malte, der im zweiten Teil zu Wort kommt, hat mich vor einiger Zeit auf diese Github-Seite aufmerksam gemacht. Dort werden verschiedene Blockerlisten, auch für die Hosts-Datei geführt.

Antivirus-Produkte erhalten inzwischen nach und nach einen Schutz gegen Crypto-Jacking. Beim Windows Defender und Microsoft Security Essentials ist da zwar noch nichts zu finden. Aber AVAST geht in diesem Blog-Beitrag darauf ein, dass ein eigenes Produkt gegen Crypto-Jacking hilft. Auch Malwarebytes Web Protection scheint seit September 2017 gegen Miner vorzugehen und diverses zu blocken (siehe). Der Browserschutz von Avira soll ebenfalls Miner erkennen und blockieren (siehe). Hier ggf. die verwendete Antivirus-Lösungen auf entsprechende Funktionen abklopfen.

Der Artikel ist Work in Progress – der einfach einen Startpunkt liefert. Vermutlich habt ihr weitere Ansätze, die in den Kommentaren diskutiert werden können. In Teil 2 gibt Blog-Leser Malte noch ein paar Hinweise.

Artikelreihe:
Wissen: Crypto-Mining/-Jacking erkennen und verhindern – Teil 1
Wissen: Crypto-Mining/-Jacking verhindern – Teil 2


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Wissen: Crypto-Mining/-Jacking erkennen und verhindern

  1. Patrick sagt:

    Hm bei mir im Firefox klappt das Tool von codepen.io nicht, obwohl ich Noscript usw. deaktivert habe. Das Opera Tool gibt auch grünes Licht, also dickes Lob an Firefox :)
    Im Internetexplorer und Edge hat es (natürlich) sofort geklappt.

    Danke für die Artikel, hatte ich bisher gar nicht auf dem Schirm sowas.

  2. Ralf Hesse sagt:

    Ich habe mir ein Tool (Argusmonitor oder AIDA) installiert, das mir im Systemtray die Temperaturen von CPU, GPU und Festplatten anzeigt, sowie die Prozessorauslastung. Da merke ich sofort, wenn das System in einen kritischen Bereich gerät. Auch dann, wenn eine Webseite im Browser Amok läuft, weil sie zum Beispiel zum Mining missbraucht wird. Hatte ich sogar erst Ende letzten Jahres auf einer Shopseite, die ich regelmäßig besuche.

  3. ralf sagt:

    zu "das illegale Einbinden von Javascript-basierten Minern… um die Ressourcen der Nutzer zu stehlen":

    wenn ein seitenbetreiber – auch ohne den nutzer zu fragen – mining code einsetzt ist das zwar unschoen, aber vermutlich nicht illegal. illegal ist es meines erachtens nur, wenn ein dritter, ohne wissen des seitenbetreibers, heimlich mining code einschleust.

    • Ralf (2) sagt:

      Das wird irgendwann einmal die Gerichtsbarkeit klären müssen. Da man aber schon für das Setzen von Cookies eine Einwilligung des Nutzers einholen muss, würde ich eher davon ausgehen, dass es ohne User-Einwilligung nicht legal ist.

      Denn über längere Zeit hat es schon für den Nutzer Auswirkungen. (Und manche Miner laufen auch bei Verlassen der betreffender Webseite weiter, bis der Browserprozess geschlossen wird, über versteckte Fenster o.ä.) Da wäre der höhere Stromverbrauch, die höhere Belastung der Hardware. Und wenn das Ganze im Sommer bei 30 Grad Innentemperatur und schlechter Gehäuselüftung passiert, auch mit höherem Verschleiss oder Hardwareausfällen. Man sollte ja nicht vergessen, dass Leute, die ihre Systeme an den Leistungsgrenzen betreiben, auch immer für eine gute Gehäuselüftung sorgen. Manche Fertigsysteme aus dem Handel sind da nicht so gut aufgestellt. So wie zum Beispiel die Intel Barebones NUC im Minigehäuse. Im Normalbetrieb laufen die gut, aber nicht unter dauernder Voll-Last. Da hält mindestens der Gehäuselüfter nicht über die drei Jahre Garantiezeit durch.

      Und so manche Billig-Kondensatoren auf günstigeren Mainboards sind auf Hitze über längere Zeit auch ganz schlecht zu sprechen. Da platzt ihnen gerne mal der Kragen.

      • ralf sagt:

        cookies beruehren den schutzbereich der privatsphaere.

        welcher schutzbereich bzw. welches rechtsgut wird durch eine voruebergehend erhoehte systemauslastung durch mining in einem browserfenster gefaehrdet/verletzt?

        um missverstaendnissen vorzubeugen: ich bin gegen mining.

        • Ralf (2) sagt:

          Das Rechtsgut ist das Vermögen des Nutzers (erhöhter Stromverbrauch muss bezahlt werden) und der Besitz (höhere Hardwarebelastung mit der Gefahr der Sachbeschädigung). Alles im Hinblick darauf, dass der Betreiber (ohne Einwilligung) sich einen geldwerten Vorteil verschafft, auch im Vergleich zu anderen Webseitenbetreibern. Dabei wird in Deutschland wahrscheinlich mehr eine Abmahnung zu fürchten sein als eine mögliche strafrechtliche Ermittlung. Und selbst die Abwehr unberechtigter Abmahnungen kann Kosten entstehen lassen, die denen einer Abmahnung selbst gleich stehen.

          • ralf sagt:

            "erhoehter stromverbrauch" hat das olg koeln neulich nicht von so einem urteil abgehalten: "Unitymedia NRW darf die Router, die das Unternehmen den Kunden stellt, für den Aufbau eines flächendeckenden WLAN-Netzes mittels eines zweiten WLAN-Signals ('WifiSpots') nutzen. Eine ausdrückliche Zustimmung der Kunden ('Opt in') ist hierfür nicht erforderlich."

            ich hatte hierzu folgendes gepostet:
            https://www.borncity.com/blog/2018/02/05/das-unitymedia-wlan-hotspot-urteil/#comment-53803

          • Ralf (2) sagt:

            Das OLG Köln hat in seinem Urteil aber ganz ausdrücklich gesagt, dass Voraussetzung ist, dass dem Kunden das Opt-Out möglich ist. Damit hat der Kunde über die AGBs Kenntnis von der Massnahme und er kann sich per Opt-Out daraus abmelden. Das Urteil will ich nicht bewerten, aber zumindest geht aus ihm klar hervor, dass man dem Kunden nicht einfach etwas unterschieben darf, sondern dass er Kenntnis davon bekommen und darauf reagieren können muss.

          • ralf sagt:

            zu Ralf (2): "Voraussetzung ist, dass dem Kunden das Opt-Out möglich ist"

            eine "opt-out"-option besteht doch auch beim besuch einer webseite: man besucht sie in zukunft nicht mehr. –

            und besucher einer webseite haben dort gewiss weniger rechte als zahlende kunden bei ihrem provider.

      • Günter Born sagt:

        So auf die Feinheit, was illegal genau bedeutet, wollte ich hier eigentlich nicht hinaus.

        Zu den Schäden: ich hatte kürzlich einen Blog-Beitrag hier, wo ein Miner auf einem Android-Phone das Gerät durch Überlastung des Akkus zum Platzen brachte. Da wird das dann schon kriminell.

  4. ralf sagt:

    vielleicht auch interessant
    steven blacks hosts file repository:
    https://github.com/StevenBlack/hosts

  5. Bernd sagt:

    Danke für die vielen Sicherheitshinweise, die ich hier immer gerne verfolge!

    Eine Frage zu dem oben empfohlenen Test auf cryptojackingtestcom:
    Ich habe den Test eben mit dem neuesten Firefox gemacht und erhalte als Ergebnis "YOU'RE PROTECTED", allerdings greift AVIRA Antivirus ein, blockiert 4 Dateien und verschiebt sie in die Quarantäne – siehe den nachfolgenden Screenshot:

    Ich nehme an, dass das unvermeidlicher Teil des Teil des Tests und die gezeigten Dateien harmlos sind, sonst würde der Test hier ja wohl nicht empfohlen, wollte aber trotzdem mal nachhaken und fragen, ob den Kennern hier bei den gezeigten Dateien etwas seltsam vorkommt oder ob ich sie jetzt einfach unbesorgt löschen kann.
    Danke!

  6. Dekre sagt:

    interessant der Test –
    Mit Malwarebytes wird der Test bei IE11 blockiert. Also Malwarebytes schlägt an. Es ist aber schon der Aufruf des Tests.
    Bei Chrome wurde i.o. angezeigt.
    Na ja, es gibt genug Tests. Wer testen will testet. Wer glaubt die Internetwelt ist toll, so soll er es auch glauben. Es verschiebt sich alles, altes Thema.
    Grüße den Agenten.

  7. Ralf Lindemann sagt:

    Interessant, die Testseite für Crypto-Mining funktioniert mit Firefox nur, wenn NoScript und Privater Modus deaktiviert sind. Im Internet Explorer geht es gar nicht, weil hier Avast auf der Bremse steht und das entscheidende „conhive.min[1].js" blockiert.

  8. schattenmensch sagt:

    Das Addon uBlock Origin bietet auch einen Schutz gegen Mining. Zum Teil schützen auch Antiviren Lösungen. Die werden mit Sicherheit sich das Thema weiter annehmen und in ein paar Monaten ihre Produkte entsprechend bewerben.

  9. Ralph sagt:

    "Kryptominer-Schädling Coinhive" Über diesen Passus sollten wir noch einmal nachdenken. Das Script von Coinhive ist mitnichten ein Schädling. Es ist ein Script, das genau das tut, was es soll. Dank solcher Formulierungen (nicht nur hier, sondern an vielen anderen Stellen im Netz auch) bin ich zum Beispiel nicht mehr in der Lage, über meinen Browser zu schürfen, so lange mein Virenscanner an ist.
    Nebenbei erwähnt: irgendeine deutsche PC-Zeitschrift zeigt neuerdings Bild-Allüren und lässt einen nicht mehr auf der Webseite lesen, sobald man einen Adblocker benutzt. Ich habe den mal aus reiner Neugier deaktiviert und sofort wurde – OHNE vorherige Nachfrage – auf meinem PC die Prozessorlast immens. Auf den Seiten, auf denen das Script zum Zwecke des minings angeboten wird ("angeboten" dergestalt, dass es dort einen Knopf gibt, auf dem sinngemäß steht "hier drücken, wenn Du minen willst"), taucht hingegen vor dem Start ein Layer auf, der einen auf die erhöhte Prozessorlast hinweist und einem die Möglichkeit gibt, sich an dieser Stelle doch noch einmal anders zu entscheiden.
    Da stellt sich mir spontan die Frage, wer hier der Schädling ist. Das Script an sich sicher nicht.

    • Günter Born sagt:

      Nun ja, hier wirst Du nun päbstlicher als der Pabst. Die JavaScript-Routinen für Coinhive sind sicher kein Schädling – das ist aber Insidern klar. Aber der Code wird halt von Krypto-Jackern genutzt – und das ist dann die Formulierung, die Check Point & Co. verwenden. Ich habe den Text aber leicht angepasst, um das klarzustellen. Nur wird es dir bei deinem Problem eher nicht helfen ;-)

Schreibe einen Kommentar zu Ralf (2) Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.