Windows Defender ATP erkennt Krypto-Miner

Publiziert am 16. März 2018 von Günter Born

Microsoft reagiert auf die sprunghaft gestiegene Verbreitung illegaler Krypto-Miner. In Business-Umgebungen kann Windows Defender Advanced Thread Protection (ATP) Miner erkennen und eliminieren.

Anzeige

Krypto-Miner, die illegal zum Schürfen von Krypto-Geld in Apps, Webseiten oder Anwendungen genutzt werden, stellen mittlerweile eines der größten Probleme dar. Ich hatte kürzlich eine eigene Artikelreihe im Blog, der zeigt, wie man solche Miner erkennen und wie man sich davor schützen kann (siehe Linkliste am Artikelende).

Microsoft hat Crypto-Miner im Fokus

In einem längeren Blog-Beitrag Invisible resource thieves: The increasing threat of cryptocurrency miners vom 13. März 2018 befasst sich Microsoft ganz offiziell mit dem Thema Miner.

Bitcoins
(Quelle: Pexels David McBee CC0 License)

Einerseits ist Krypto-Geld seit dem Höhenflug des Bitcoin-Kurses im öffentlichen Fokus (wenn dein Physiotherapeut dich anspricht und fragt, ob er Bitcoins kaufen soll, ist das Thema in den hintersten Stuben angekommen). Andererseits hafte Krypto-Geld ein negativer Ruf an, seit Cyberkriminelle von Ransomware-Opfern Lösegeldzahlungen inform von Krypto-Geld verlangten. Laut Microsoft war das kein unerwarteter Schritt – digitale Währungen bieten die Anonymität, die sich Cyberkriminelle wünschen. Der starke Anstieg des Wertes digitaler Währungen ist ein Glücksfall für Cyberkriminelle, die Bitcoins erfolgreich von Lösegeldopfern erpresst haben.

Diese Dynamik treibt die cyberkriminellen Aktivitäten im Zusammenhang mit Krypto-Währungen voran und hat zu einer Explosion des Einsatzes von nicht legalen Krypto-Minern geführt. Ich hatte es ja in diversen Beiträgen ausgeführt: Per se sind Krypto-Miner nichts schlechtes, es gibt legale Möglichkeiten, Krypto-Geld zu schüfen. Einige Einzelpersonen und Organisationen investieren in Hardware und zahlen auch die Stromrechnung, um legal Krypto-Geld zu schürfen. Zum Problem wird es, wenn Cyber-Kriminelle nach alternativen Quellen für die Rechenleistung suchen und mit ihren Minern in Unternehmensnetzwerke eindringen. Obwohl es sich nicht um bösartige Malware handelt, die Daten verschlüsselt oder absaugt, sind Miner in Unternehmensumgebungen nicht erwünscht, denn sie ziehen wertvolle Computerressourcen ab. Zudem gibt es immer die Gefahr, dass über die eingeschleusten Krypto-Miner andere Schweinereien nachgeschoben werden.

Krypto-Miner Verbreitung
(Quelle: Microsoft)

Microsoft hat hier das obige Diagramm veröffentlicht, welches zeigt, wie viele Krypto-Miner-Angriffe Monat für Monat entdeckt werden. Die im Blog-Beitrag beschriebenen Infektionswege variieren dabei. Generell werden die Verbreitungswege von Malware (DDE exploit, Anhänge von Mails etc.) genutzt. Im Gegensatz zu Minern, die auf Webseiten lauern und beim Abruf der Seite im Browser aktiv werden, versuchen die Cyber-Kriminellen die Krypto-Miner in Unternehmen persistent einzuschleusen (sprich: Die sollen eigentlich rund um die Uhr schürfen).

Tech Scam: Warnung vor Minern(Quelle: Microsoft)

Anzeige

Zudem ist Microsoft auch Support Scam aufgefallen, wo Nutzer falsche Sicherheitswarnungen erhielten. In einem Popup (siehe obige Abbildung) wurde dem Benutzer eine angebliche Windows Defender Sicherheitswarnung angezeigt. Im Popup war dann eine Telefonnummer für Support eingeblendet.

Windows Defender ATP schützt

Nachdem sich das Problem auch für Unternehmensumgebungen auswächst, hat sich das Windows Defender-Team dem angenommen. Miner werden dabei in zwei Klassen unterteilt:

  • Krypto-Miner, die sonst keine Schäden anrichten, werden für Unternehmensumgebungen üblicherweise nicht autorisiert und gelten als "potenziell unerwünschte Anwendungen (PUA)" .
  • Trojanisierte Varianten von Minern werden als Malware eingestuft und von Microsoft-Sicherheitsprodukten automatisch erkannt und geblockt.

Der PUA-Schutz ist standardmäßig im System Center Configuration Manager aktiviert. Sicherheitsadministratoren können die PUA-Schutzfunktion auch mithilfe von PowerShell-Cmdlets oder Microsoft Intune aktivieren und konfigurieren.

Weiterhin blockiert Windows Defender AV potenziell unerwünschte Anwendungen, wenn ein Benutzer versucht, die Anwendung herunterzuladen oder zu installieren, und die betreffende Programmdatei eine von mehreren Bedingungen erfüllt. Potentiell unerwünschte Anwendungen, die blockiert sind, werden in der Quarantäne-Liste in der Windows Defender Security Center-Anwendung angezeigt.

Im September 2017 waren nur rund 2 % der potenziell unerwünschten und vom Windows Defender AV blockieren Anwendungen, Miner. Diese Zahl ist im Januar 2018 auf rund 6% angestiegen, ein weiteres Indiz für die Zunahme dieser unerwünschten Anwendungen in Unternehmensnetzwerken.

Zunahme von Minern(Quelle: Microsoft)

Windows 10 Enterprise-Kunden profitieren vom Windows Defender Advanced Threat Protection-Schutz. Dieser stellt ein breites Bündel an Sicherheitsfunktionen bereit, die vor Minern und anderer Malware schützt.

Windows Defender AV verwendet einen Multiple Layers-Protection-Ansatz, um neue Angriffe zu entdecken und unschädlich zu machen. Am einfachsten ist es, die Minater per PUA-Protection in Windows Defender AV zu blocken. In Unternehmen lassen sich über Windows Defender Application Control Richtlinien aufsetzen, die verhindern, dass Angestellte schädliche und nicht autorisiert Anwendungen installieren.

Trojanisierte Krypto-Miner lassen sich über maschinelles Lernen im Window Defender AV erkennen und sofort blocken (siehe auch Windows Defender stoppt Malware-Kampagne). Durch die Nutzung des Antimalware Scan Interface (AMSI) lässt sich script-basierte Malware inspizieren. Der Windows Defender AV kann so auch skriptbasierte Miner erkennen und eliminieren.

Malware mit ausgefeilteren Verhaltensweisen oder Ankunftsmethoden wie DDE-Exploits und bösartige Skripte, die von E-Mail- oder Office-Anwendungen gestartet werden, können mithilfe von Windows Defender Exploit Guard, insbesondere der Funktionen zur Reduzierung der Angriffsfläche und des Exploit-Schutzes, abgeschwächt werden.

Bösartige Websites, die Miner-Scripte beherbergen, wie z. B. Support Scam-Betrugsseiten, können von Microsoft Edge mithilfe von Windows Defender SmartScreen und Windows Defender AV blockiert werden.

Für die Sicherheit im Unternehmensnetzwerk zuständige Administratoren können die erweiterten Bibliotheken zur Erkennung von Verhaltensweisen und maschinellem Lernen in Windows Defender ATP verwenden, um Miner-Aktivitäten und andere Anomalien im Netzwerk zu erkennen.

Es steht also ein ganzes Arsenal an Abwehrstrategien für Unternehmen zur Verfügung. Und selbst im privaten Umfeld bietet der Windows Defender bereits einen gewissen Schutz gegen unerwünschte Software mit Minern. Details können hier nachgelesen werden.

Ähnliche Artikel:
Wissen: Crypto-Mining/-Jacking erkennen und verhindern
Wissen: Crypto-Mining/-Jacking verhindern – Teil 2

Mac Store-App Calendar 2 mit Krypto-Miner in der Free-Version
Millionen PCs mit Krypto-Mining-Tool XMRig infiziert
YouTube liefert Werbung mit Krypto-Miner aus
Fake Krypto-Geld-Wallet-Apps in Google Play gefunden
Chrome-Extension Archive-Poster verteilt Krypto-Miner
Massive Krypto-Mining Kampagne gegen WordPress-Sites
Krypto-Miner attackiert Windows Server 2003 (IIS 6.0)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.