Crypto-Miner infiziert 50% der Computersysteme eines europäischen Flughafen

Ein ungenannter europäischer Flughafen ist Opfer einer Crypter-Miner-Attacke geworden. Gut 50 % der Systeme waren über Monate durch Crypto-Miner infiziert. Installierte Antivirenprogramme hatten die Infektion nicht verhindert.


Anzeige

Aufgefallen ist dies, als der Anbieter Cyberbit seine Endpoint Detection and Response (EDR) Sicherheitslösung auf den IT-Systemen des Flughafens auszurollen begann. Beim Rollout identifizierten die Sicherheitsforscher des Anbieters plötzlich eine interessante Infektion mit einer Crypto-Miner-Software. Gut 50% der (Windows-) Arbeitsplätze des Flughafens war durch diese Schadsoftware infiziert. Dieses Ergebnis wirft natürlich die Frage auf, wie es so einfach zur Installation von bösartiger Software in Unternehmensnetzwerken kommen kann, obwohl diese durch Antivirenprogramme geschützt werden?

Entdeckung per verhaltensbasierter Analyse

Das Unternehmen Cyberbit schreibt in diesem Blog-Beitrag, dass die Infektion erst beim Rollout der Cyberbit EDR-Software im Netzwerk des internationalen Flughafen in Europa aufgefallen sei. Bei Cyberbit EDR handelt es sich um eine fortschrittliche Plattform zur Verhaltenserkennung und Bedrohungssuche. 

Während des Standard-Rollout-Prozesses wurden die EDR-Agenten auf Kernel-Ebene auf den Arbeitsplätzen des Kunden installiert. Dieser Agent sammelt Endpunktaktivitäten, die in einem Big-Data-Repository zentralisiert abgelegt werden. Dort lassen sie sich mit Hilfe einer Reihe von Verhaltensalgorithmen analysieren. Die Algorithmen generieren dann Warnmeldungen, sobald er ein potenziell schädliches Verhalten von Endpunkten erkennt. Das Analystenteam von Cyberbit untersucht diese Warnmeldungen und führt Whitelists legitimer Prozesse durch. Dies ermöglicht den Kunden eine genaue Erkennung von Aktivitäten von Schadsoftware, wenn diese Antiviren-Systeme umgehen. Gleichzeitig werden im laufenden Betrieb minimiert Fehlalarme nach dem Rollout eliminiert.

Während dieses Rollout-Prozesses warnten die verhaltensbasierenden Algorithmen vor einer verdächtigen Verwendung des PAExec-Tools. Das Tool wurde über einen kurzen Zeitraum mehrfach verwendet, um eine Anwendung namens player.exe zu starten. PAExec ist eine weiterverteilbare Version von Microsofts PSExec, mit der Windows-Programme auf Remote-Systemen ausgeführt werden können, ohne dass Software auf diesen Systemen physisch installiert werden muss. Die Verwendung von PAExec ist oft ein Hinweis auf bösartige Aktivitäten, speziell, wenn eine wiederholte Verwendung des Tools festgestellt wird.

Darüber hinaus hat die Verhaltensanalyse die Verwendung von Reflective DLL Loading nach dem Ausführen von player.exe erkannt. Dies ist eine Technik, um eine DLL remote in einen Prozess einzubinden, ohne den Windows-Loader zu verwenden und den Zugriff auf die Festplatte zu vermeiden. Reflektierendes DLL-Laden ist eine typische Verteidigungstaktik, die von Angreifern verwendet wird, um das Laden von bösartigen Dateien zu verbergen. Diese Kombination der beiden verdächtigen Verhaltensweisen löste einen EDR-Alarm mit hoher Priorität aus, den die Sicherheitsforscher dann weiter untersuchten.

ZScaler-Kampagne installiert Crypto-Miner

Basierend auf weiteren, darauf hin durchgeführten Analysen konnten die Sicherheitsforscher von Cyberbit diese Malware mit der von Zscaler im August 2018 gemeldeten Anti-Coinminer-Kampagne in Verbindung bringen.

Die bittere Erkenntnis aus diesem Fall: Die Malware kann Monate vor der Installation von Cyberbit EDR verwendet worden sein, obwohl alle Arbeitsplätze mit einem Antivirenprogramm nach Industriestandard ausgestattet waren. Obwohl mehr als ein Jahr vergangen ist, seit Zscaler diese Malware im August 2018 gemeldet hat, konnten nur 16 von 73 Erkennungsprodukten auf VirusTotal die Datei als bösartig erkennen. Und die Sicherheitslücken zur Verbreitung des Crypto-Miners hätten auch zur Verteilung weit schädlicherer Malware ausgenutzt werden können. Weitere Details sind diesem Artikel zu entnehmen. (via)

Ähnliche Artikel:
IT-Ausfall legt am 15.10.2019 die Produktion bei Porsche lahm
Ransomware-Befall bei globaler Spedition Pitney Bowes
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Ransomware legt Zahnarzt-Praxen in den USA lahm
Texas: Über 20 Verwaltungen per Ransomware angegriffen
Ransomware-Angriffe auf Unternehmen steigen um 365 %
Erfolgreicher Cyberangriff auf die Pilz GmbH & Co. KGs
Ransomware-Infektion beeinträchtigt Bristol Airport-Betrieb
Flughafen Charles de Gaulle/Orly und die Sicherheit
Sicherheitspanne an New Yorker Flughafen: Daten öffentlich abrufbar


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Crypto-Miner infiziert 50% der Computersysteme eines europäischen Flughafen

  1. Andreas K. sagt:

    Ob es nur eine Frage der Zeit ist, bis diese "Endpoint-Protection" auch ausgetrickst werden kann?
    Wir haben hier zwar ein mehrstufiges Sicherheitskonzept, aber ich überlege darüberhinaus sowas wie Panda Adaptive Defense zu testen.

  2. Wer die #CoinBlockerLists verwendet ist gut geschützt.
    Mining funktioniert bei Verwendung der Listen nicht oder nur sehr sehr eingeschränkt, wenn mal eine URL noch nicht bekannt ist.
    Und es gibt regelmäßig Updates, erst gestern mit über 2000 neuen URLs.
    Downloads können über folgende Seite gefunden werden: https://zerodot1.gitlab.io/CoinBlockerListsWeb/downloads.html
    Ich hoffe, es ist eine gute Sache…

  3. 1ST1 sagt:

    Solange die Datei nichts offensichtlich schädliches auf dem PC, im Netzwerk, usw. macht, sondern nur Rechenzeit klaut, scheint das vielen Antiviren nicht aufzufallen. Raffinierter Ansatz.

  4. MCG sagt:

    eines europäischen FlughafenS*

  5. Dietmar sagt:

    Hmmmm. Ungenannter europäischer Flughafen……hmmmmmm einen noch nicht eröffneten wüsst ich…. aber der wird es nicht sein, denn dort gabs noch keine Pannen und kam auch nie in die Schlagzeilen. ;)

  6. idastre sagt:

    "…Die Verwendung von PAExec ist oft ein Hinweis auf bösartige Aktivitäten,.."
    Diese Exe finde ich bei mir im Pfad ….\NVIDIA\DDU\x64
    Soll ich mir jetzt Sorgen machen? Das DDU-Tool ist ja keine Malware.
    Das war in einer Version von 2017 (17.0.5.5), in der aktuellen Version gibt es diesen Ordner/Programm nicht mehr.

  7. Manfred sagt:

    Gemäss https://www.poweradmin.com/paexec/ (also dem Entwickler von PAExec) kann PAExec durchaus Bestandteil anderer Software-Pakete sein. So wird es z.B. zur Aktualisierung von Treibern benutzt. Wäre gut möglich, dass deine NVIDIA-Komponente das Tool ebenfalls verwendet.

    Somit würde ich nicht allzu nervös werden. Zur Sicherheit aber mal bei NVIDIA nachfragen, wie Günter Born auch geraten hat.

  8. Micha sagt:

    Ich hatte auch mal unter Windows 8.1 x64 so eine verdächtige exe. Aufgefallen ist mir das weil die CPU Temperatur im Leerlauf zu hoch war und die CPU nicht mehr heruntertaktete.

    Sie nannte sich tiworker.exe Riched32.dll. Diese Version von tiworker.exe hatte keine Digitale Signatur und arbeitet aus einem beliebigen Subdirectory des Windowsordners.
    Das Programm Rkill hat meine Vermutung bestätigt das es sich um unerwünschte Software handelte. Kaspersky Internet Security sagt das die Dateien ungefährlich sind. Auch Virus Total sagte das beide Dateien unbedenklich seien.

    Die im Ressourcenmonitor angezeigte IP Adresse die immer mal wieder kontaktiert wurde gehört laut Google Hetzner.

Schreibe einen Kommentar zu Micha Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.