Ein ungenannter europäischer Flughafen ist Opfer einer Crypter-Miner-Attacke geworden. Gut 50 % der Systeme waren über Monate durch Crypto-Miner infiziert. Installierte Antivirenprogramme hatten die Infektion nicht verhindert.
Anzeige
Aufgefallen ist dies, als der Anbieter Cyberbit seine Endpoint Detection and Response (EDR) Sicherheitslösung auf den IT-Systemen des Flughafens auszurollen begann. Beim Rollout identifizierten die Sicherheitsforscher des Anbieters plötzlich eine interessante Infektion mit einer Crypto-Miner-Software. Gut 50% der (Windows-) Arbeitsplätze des Flughafens war durch diese Schadsoftware infiziert. Dieses Ergebnis wirft natürlich die Frage auf, wie es so einfach zur Installation von bösartiger Software in Unternehmensnetzwerken kommen kann, obwohl diese durch Antivirenprogramme geschützt werden?
Entdeckung per verhaltensbasierter Analyse
Das Unternehmen Cyberbit schreibt in diesem Blog-Beitrag, dass die Infektion erst beim Rollout der Cyberbit EDR-Software im Netzwerk des internationalen Flughafen in Europa aufgefallen sei. Bei Cyberbit EDR handelt es sich um eine fortschrittliche Plattform zur Verhaltenserkennung und Bedrohungssuche.
Während des Standard-Rollout-Prozesses wurden die EDR-Agenten auf Kernel-Ebene auf den Arbeitsplätzen des Kunden installiert. Dieser Agent sammelt Endpunktaktivitäten, die in einem Big-Data-Repository zentralisiert abgelegt werden. Dort lassen sie sich mit Hilfe einer Reihe von Verhaltensalgorithmen analysieren. Die Algorithmen generieren dann Warnmeldungen, sobald er ein potenziell schädliches Verhalten von Endpunkten erkennt. Das Analystenteam von Cyberbit untersucht diese Warnmeldungen und führt Whitelists legitimer Prozesse durch. Dies ermöglicht den Kunden eine genaue Erkennung von Aktivitäten von Schadsoftware, wenn diese Antiviren-Systeme umgehen. Gleichzeitig werden im laufenden Betrieb minimiert Fehlalarme nach dem Rollout eliminiert.
Während dieses Rollout-Prozesses warnten die verhaltensbasierenden Algorithmen vor einer verdächtigen Verwendung des PAExec-Tools. Das Tool wurde über einen kurzen Zeitraum mehrfach verwendet, um eine Anwendung namens player.exe zu starten. PAExec ist eine weiterverteilbare Version von Microsofts PSExec, mit der Windows-Programme auf Remote-Systemen ausgeführt werden können, ohne dass Software auf diesen Systemen physisch installiert werden muss. Die Verwendung von PAExec ist oft ein Hinweis auf bösartige Aktivitäten, speziell, wenn eine wiederholte Verwendung des Tools festgestellt wird.
Anzeige
Darüber hinaus hat die Verhaltensanalyse die Verwendung von Reflective DLL Loading nach dem Ausführen von player.exe erkannt. Dies ist eine Technik, um eine DLL remote in einen Prozess einzubinden, ohne den Windows-Loader zu verwenden und den Zugriff auf die Festplatte zu vermeiden. Reflektierendes DLL-Laden ist eine typische Verteidigungstaktik, die von Angreifern verwendet wird, um das Laden von bösartigen Dateien zu verbergen. Diese Kombination der beiden verdächtigen Verhaltensweisen löste einen EDR-Alarm mit hoher Priorität aus, den die Sicherheitsforscher dann weiter untersuchten.
ZScaler-Kampagne installiert Crypto-Miner
Basierend auf weiteren, darauf hin durchgeführten Analysen konnten die Sicherheitsforscher von Cyberbit diese Malware mit der von Zscaler im August 2018 gemeldeten Anti-Coinminer-Kampagne in Verbindung bringen.
Die bittere Erkenntnis aus diesem Fall: Die Malware kann Monate vor der Installation von Cyberbit EDR verwendet worden sein, obwohl alle Arbeitsplätze mit einem Antivirenprogramm nach Industriestandard ausgestattet waren. Obwohl mehr als ein Jahr vergangen ist, seit Zscaler diese Malware im August 2018 gemeldet hat, konnten nur 16 von 73 Erkennungsprodukten auf VirusTotal die Datei als bösartig erkennen. Und die Sicherheitslücken zur Verbreitung des Crypto-Miners hätten auch zur Verteilung weit schädlicherer Malware ausgenutzt werden können. Weitere Details sind diesem Artikel zu entnehmen. (via)
Ähnliche Artikel:
IT-Ausfall legt am 15.10.2019 die Produktion bei Porsche lahm
Ransomware-Befall bei globaler Spedition Pitney Bowes
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Ransomware legt Zahnarzt-Praxen in den USA lahm
Texas: Über 20 Verwaltungen per Ransomware angegriffen
Ransomware-Angriffe auf Unternehmen steigen um 365 %
Erfolgreicher Cyberangriff auf die Pilz GmbH & Co. KGs
Ransomware-Infektion beeinträchtigt Bristol Airport-Betrieb
Flughafen Charles de Gaulle/Orly und die Sicherheit
Sicherheitspanne an New Yorker Flughafen: Daten öffentlich abrufbar
Anzeige
Ob es nur eine Frage der Zeit ist, bis diese "Endpoint-Protection" auch ausgetrickst werden kann?
Wir haben hier zwar ein mehrstufiges Sicherheitskonzept, aber ich überlege darüberhinaus sowas wie Panda Adaptive Defense zu testen.
Wer die #CoinBlockerLists verwendet ist gut geschützt.
Mining funktioniert bei Verwendung der Listen nicht oder nur sehr sehr eingeschränkt, wenn mal eine URL noch nicht bekannt ist.
Und es gibt regelmäßig Updates, erst gestern mit über 2000 neuen URLs.
Downloads können über folgende Seite gefunden werden: https://zerodot1.gitlab.io/CoinBlockerListsWeb/downloads.html
Ich hoffe, es ist eine gute Sache…
Solange die Datei nichts offensichtlich schädliches auf dem PC, im Netzwerk, usw. macht, sondern nur Rechenzeit klaut, scheint das vielen Antiviren nicht aufzufallen. Raffinierter Ansatz.
eines europäischen FlughafenS*
Hmmmm. Ungenannter europäischer Flughafen……hmmmmmm einen noch nicht eröffneten wüsst ich…. aber der wird es nicht sein, denn dort gabs noch keine Pannen und kam auch nie in die Schlagzeilen. ;)
"…Die Verwendung von PAExec ist oft ein Hinweis auf bösartige Aktivitäten,.."
Diese Exe finde ich bei mir im Pfad ….\NVIDIA\DDU\x64
Soll ich mir jetzt Sorgen machen? Das DDU-Tool ist ja keine Malware.
Das war in einer Version von 2017 (17.0.5.5), in der aktuellen Version gibt es diesen Ordner/Programm nicht mehr.
Da wird dir hier keiner eine erschöpfende Antwort liefern können. Nimm den Beitrag zum Anlass für entsprechende eigene Recherchen, ob die Nvidia-Entwickler dieses Modul verwendet haben …
Gemäss https://www.poweradmin.com/paexec/ (also dem Entwickler von PAExec) kann PAExec durchaus Bestandteil anderer Software-Pakete sein. So wird es z.B. zur Aktualisierung von Treibern benutzt. Wäre gut möglich, dass deine NVIDIA-Komponente das Tool ebenfalls verwendet.
Somit würde ich nicht allzu nervös werden. Zur Sicherheit aber mal bei NVIDIA nachfragen, wie Günter Born auch geraten hat.
Ich hatte auch mal unter Windows 8.1 x64 so eine verdächtige exe. Aufgefallen ist mir das weil die CPU Temperatur im Leerlauf zu hoch war und die CPU nicht mehr heruntertaktete.
Sie nannte sich tiworker.exe Riched32.dll. Diese Version von tiworker.exe hatte keine Digitale Signatur und arbeitet aus einem beliebigen Subdirectory des Windowsordners.
Das Programm Rkill hat meine Vermutung bestätigt das es sich um unerwünschte Software handelte. Kaspersky Internet Security sagt das die Dateien ungefährlich sind. Auch Virus Total sagte das beide Dateien unbedenklich seien.
Die im Ressourcenmonitor angezeigte IP Adresse die immer mal wieder kontaktiert wurde gehört laut Google Hetzner.