Kryptominer „Golang“ schürft in Windows-Systemen

Bitcoin krypto Währung
Anzeige

Beitrag teilen

Neue Variante der Kryptominer-Malware „Golang“ attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen.

„Totgesagte leben länger!“ Ein Sprichwort, dass insbesondere für die kriminelle Cyberwelt gilt. Genauer gesagt für die Verbreitung bösartiger Schadsoftwaretypen, wie in diesem neuen Fall. Vor gut einem Jahr trieb die Golang-Malware ihr Unwesen relativ unbemerkt und  ausschließlich in Linux-basierten Netzwerken, indem sie verschieden Web-Anwendungen für Kryptomining-Operationen anvisierte. Dann war scheinbar Ruhe: Ein Jahr später, im Juni dieses Jahres, entdeckten Sicherheitsanalysten von Barracuda, dass eine neue Variante der Schadware wieder unterwegs ist und diesmal neben Linux- auch vor Windows-Servern nicht Halt macht.

Anzeige

Breite Palette an Angriffszielen

Die neue Malware-Variante greift Web-Application-Frameworks, Anwendungsserver und Nicht-HTTP-Dienste wie Redis und MSSQL an. Ihr Hauptziel ist das Mining der Monero-Kryptowährung mit Hilfe des bekannten Minors XMRig. Die Malware verbreitet sich als Wurm, sucht und infiziert andere anfällige Rechner und nutzt einen neuen Pool von Exploits. So zielen einige der in der Malware enthaltenen Exploits auf das in China beliebte ThinkPHP-Webanwendungs-Framework ab. Wie bei anderen Malware-Familien ist davon auszugehen, dass sich diese Malware ständig weiterentwickelt und immer mehr Exploits verwendet.

Hat die Malware einen Rechner infiziert, lädt sie die folgenden Dateien herunter, die je nach attackierter Plattform zwar angepasst sind, aber stets dem gleichen Schema folgen, einschließlich einer anfänglichen Nutzlast, eines Update-Skripts, eines Miners, eines Watchdogs, eines Scanners und einer Konfigurationsdatei für den Kryptominer. Bei Windows-Rechnern fügt die Malware zudem einen Backdoor-Nutzer hinzu.

Anzeige

Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner

Init-/Update-Skripte

Die Init- und Update-Skripte haben auf jeder Plattform den gleichen Inhalt. Sie werden sowohl für die Installation der Malware als auch für die Aktualisierung ihrer Komponenten verwendet. Das Init-Skript wird als Teil der anfänglichen Nutzlast, das Update-Skript als geplante Aufgabe (cron in Linux) ausgeführt.

Das Init-Skript für Linux ist aggressiv, entfernt konkurrierende Miner und Malware, blockiert Ports, fügt Backdoor-Keys hinzu und deaktiviert SELINUX. Das Windows-Init-Skript führt einige grundlegende, aber weniger komplexe Schritte aus und wurde in früheren Varianten der Malware nicht entdeckt, was die Vermutung erlaubt, dass die Windows-Adressierung neu sein dürfte.

Minor – sysupdate/sysupadte.exe

Der Kryptominer basiert auf dem bekannten XMRig Miner, bei dem es sich um ein Open-Source-Tool handelt. Die Konfigurationsdatei ist config.json.

Watchdog – sysguard/sysgurad.exe

Der in Go (gestrippt und mit UPX komprimiert) geschriebene Watchdog stellt sicher, dass Scanner und Miner betriebsbereit und alle Komponenten aktuell sind. Kann er keine Verbindung zum Command-and-Control-Server herstellen, versucht er, die Adresse eines neuen Servers zu ermitteln, indem er Transaktionen auf einem bestimmten Ethereum-Konto analysiert.

Backdoor-User – clean.bat

Dieses Skript findet nur auf Windows-Rechnern Verwendung und fügt dem System einen weiteren Nutzer hinzu. Die Init-/Update-Skripte für Linux-Systeme führen einen ähnlichen Schritt aus, indem sie dem System einen autorisierten SSH-Schlüssel hinzufügen.

Scanner – Netzwerkdienst/netzwerkdienst.exe

In Go geschrieben (mit UPX gestrippt und komprimiert), verbreitet die Scanner-Komponente die Malware, indem sie das Internet nach anfälligen Rechnern absucht und diese mit der Malware infiziert. Der Scanner generiert eine zufällige IP (vermeidet 127.x.x.x.x, 10.x.x.x.x und 172.x.x.x.x) und versucht, den Rechner dahinter anzugreifen. Nach der erfolgreichen Übernahme meldet sich die IP an den Befehls- und Kontrollserver zurück, hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/ReportSuccess/<IP>/<Exploit type>. Der Scanner meldet zudem den Fortgang an den Command-and-Control-Server zurück, hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/Iamscan/<scan count>.

Die neue Malware-Variante umfasst die folgenden Exploits

Kryptominer-Malware "Golang" umfasst viele Exploits

Was ist nun zu tun, um sich vor Angriffen der neuen Malware zu schützen? Unternehmen sollten unbedingt die folgenden Maßnahmen durchführen:

Richtig konfigurierte Web Application Firewall (WAF)

Die neue Malware-Variante verbreitet sich, indem sie das Internet nach anfälligen Rechnern durchsucht. Häufig unterschätzen Unternehmen die Anwendungssicherheit, obwohl sie nach wie vor einer der beliebtesten Bedrohungsvektoren von Cyberkriminellen sind.

Sicherheit durch ständige Patch-/Update-Aktualisierungen

Es ist eine Binsenweisheit, kann aber dennoch nicht oft genug wiederholt werden: Cyberkriminelle suchen immer nach Schwachstellen im System. Sicherheits-Patch es und -Updates sind deshalb unumgänglich.

Überwachung der Systeme auf verdächtige Aktivitäten

Das Verständnis über die Funktionsweise dieser neuen Malware-Variante, erlaubt eine effektive Überwachung der Windows- und Linux-Server. Die zur Verfügung stehende Lösung muss sicherstellen, diese Art gefährlicher Aktivitäten zu erkennen und entsprechende Warnzeichen sollten den IT-Security-Teams der Unternehmen bekannt sein.

Auch, wenn die neue Golang-Variante bisher nur chinesische IT-Umgebungen befallen hat, muss es dabei nicht bleiben. Insbesondere, wenn es um virtuell grenzüberschreitendes Kryptomining geht.

Klaus Gheri
 

Passende Artikel zum Thema

Neue USG-FLEX-Firewalls

Zyxel unterstützt überlastete und unzureichend ausgestattete KMUs mit einem erweiterten Portfolio leistungsstarker Firewalls. Es erweitert sein Portfolio der USG-FLEX-Firewalls um ➡ Weiterlesen

Generationswechsel: LANCOM R&S Unified Firewalls

Neue Modelle UF-160 und UF-260 für umfassende UTM-Cybersicherheit. Der deutsche Netzwerkinfrastrukturausstatter LANCOM verjüngt sein Angebot an Desktop-Firewalls für kleine und mittlere ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Ransomware: jeder 2. zahlt – bekommt aber keine Daten 

Geld weg, Daten weg: Jeder Zweite in Deutschland zahlt nach Ransomware-Angriff Lösegeld – und erhält Daten nicht zurück. Kaspersky-Studie: Die größte ➡ Weiterlesen