Die Sicherheitsforscher von Intezer haben eine Wurminfrastruktur entdeckt, die sowohl Linux- als auch Windows-Server angreift, um sie für das Schürfen der Kryptowährung Monero zu missbrauchen.
Diese Kryptowährung wird typischerweise mit herkömmlichen CPUs und GPUs anstelle von spezialisierten Asics berechnet. Deshalb eignen sich angreifbare x86-Systeme dafür sehr gut. Auf seiner Internetseite beschreibt das Security-Unternehmen, wie der Wurm genau arbeitet und welche Dienste er dafür ausnutzt.
Gepflegter Command- and Control-Server
Intezer stellte fest, dass der Wurm über einen zentralen Command-and-Control-Server verteilt wird. Der wird wohl auch noch immer aktuell gehalten, was eine aktive Hackergruppe dahinter vermuten lässt.
Der Angriff nutzt öffentlich einsehbare Schnittstellen von Diensten wie zum Beispiel MySQL, Tomcat und Jenkins – und damit arbeitende Ports wie 8080, 7001 und 3306. Über einen Brute-Force-Angriff überwindet das System schwache Passwörter und nutzt dabei auch einen Dictionary-Angriff , der zunächst häufig genutzte Begriffe ausprobiert.
Der Wurm verbreitet sich autonom im Netzwerk
Hat der Wurm dann diese Hürde überwinden, wird ein Dropper-Script per Bash-Shell oder Powershell verteilt, das dann wiederum einen MXRig-Miner installiert.
Der Wurm kann sich dann selbstständig in Netzwerken weiterverbreiten und dadurch die Ressourcen mehrerer Server einsetzen und für das Kryptomining nutzen. Aktuell wird der Angriff von Antivirensoftware wie Virustotal auch noch nicht erkannt, was ihn umso gefährlicher macht.
Intezer gibt auch noch weitergehende Tipps, um sich vor solchen Angriffen zu schützen. Das Wichtigste dabei sind starke Passwörter und wenn irgend möglich die Nutzung einer Zweifaktor-Authentifizierung.
Darüber hinaus sollten von außen erreichbare Dienste möglichst abgeschaltet bzw. deren Nutzung generell limitiert werden. Auch aktuell gehaltene Software hilft dabei, Sicherheitslücken zu schließen.
