![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\")
Crypto-Mining ist auf dem Vormarsch, kaum ein Tag, an dem es nicht eine neue Meldung dazu gibt. In zwei Blog-Beitr\u00e4gen m\u00f6chte ich das Thema aus Sicht des Nutzers beleuchten. Was ist Crypto-Mining, was hei\u00dft Crypto-Jacking, wie kann ich Miner erkennen und wie sch\u00fctze ich mich davor, dass meine Systeme ungewollt zum Minen verwendet werden.<\/p>\n
<\/p>\n
Zuerst eine kurze Begriffsbestimmung, damit die Nomenklatur klar ist. Unter Crypto-Mining versteht man das Sch\u00fcrfen von Krypto-Geld mit Computern. Das ist zuerst einmal nichts schlimmes. Es k\u00f6nnte ja sein, dass ich einen Miner auf meinem Computer laufen lasse, um Krypto-Geld zu sch\u00fcrfen. Und JavaScript-Code, um Krypto-Geld zu sch\u00fcrfen ist schnell in eine Webseite eingebaut.<\/p>\n
Und es gibt Ans\u00e4tze, dass Leute das Minen zum Kompensieren f\u00fcr Leistungen anbieten. K\u00fcrzlich ging ein Fall durch die Presse, wo eine Website<\/a> Besuchern mit AdBlockern anbot, stattdessen einen Monero Crypto-Miner laufen zu lassen. Solange das transparent geschieht, ist das kein Problem.<\/p>\n Kommen wir zum Thema Crypto-Jacking. Dieser Begriff steht f\u00fcr den Ansatz, die Rechenleistung eines Systems heimlich bzw. gegen den Willen des Besitzers f\u00fcr das Sch\u00fcrfen von Krypto-Geld zu nutzen (Jacking hei\u00dft entf\u00fchren). Blog-Leser Malte, der den zweiten Teil der Artikelreihe als Gastbeitrag verfasst hat, gab mir folgende Definition:<\/p>\n Cryptojacking bezeichnet vor allem das illegale Einbinden von Javascript-basierten Minern wie z.B. Coinpot, Coinhive, Cryptoloot usw. [ggf. durch Dritte], um die Ressourcen der Nutzer zu stehlen und somit den gr\u00f6\u00dftm\u00f6glichen Profit zu erzielen.<\/p><\/blockquote>\n Der Angriff kann im Browser, in Apps, in Programmen oder per Script \u2013 z.B. auf Servern erfolgen. Auf Servern m\u00fcssen deren Administratoren durch geeignete Ma\u00dfnahmen sicherstellen, dass Crypto-Miner nicht unbeabsichtigt installiert werden. Hier im Blog laufen z.B. diverse Plugins mit, die vor Malware sch\u00fctzen sollen.<\/p>\n Leider m\u00fcssen wir uns k\u00fcnftig vermehrt auf Angriffe durch Crypto-Jacking einstellen. The Register hat Anfang Februar 2018 den Artikel Good news, everyone: Ransomware declining. Bad news: Miscreants are turning to crypto-mining on infected PCs<\/a> ver\u00f6ffentlicht. Tenor: Ransomware d\u00fcrfte in der Bedeutung 2018 abnehmen (die verdienen zu wenig damit). Aber Crypto-Mining (und damit einhergehend Crypto-Jacking) wird rasend zunehmen.<\/p>\n Auch von Check Point liegt mir eine Info vor, dass deren Global Threat Index im Januar einen weiteren Anstieg bei Cryptomining-Malware zeigt. Die rasante Verbreitung von Cryptomining-Malware macht Unternehmen schwer zu schaffen. Kryptominer-Sch\u00e4dlinge, die auf Coinhive-JavaScripte<\/a> aufsetzen, waren demnach f\u00fcr 23 Prozent aller Infektionen verantwortlich.<\/p>\n Check Points Forscher entdeckten bei ihrem Ranking der 10 im Januar 2018 h\u00e4ufigsten auftretenden Malware-Arten drei verschiedene Varianten von Cryptomining-Malware, wobei Coinhive f\u00fcr die meisten Infektionen insgesamt ma\u00dfgebend ist. Dabei betreibt der Sch\u00e4dling Online-Mining mit der Cryptow\u00e4hrung Monero. Die Infektion geschieht nach dem Anklicken einer verseuchten Internetseite. Das integrierte JavaScript nutzt dann die Rechenressourcen der Endnutzer-Maschinen, um Coins zu sch\u00fcrfen und beeintr\u00e4chtigt so die Systemleistung. Die vollst\u00e4ndige Liste der Top 10 der Malware-Familien im Januar finden Sie im Check-Point-Blog<\/a>.<\/p>\n Ob ein Browser f\u00fcr Crypto-Mining anf\u00e4llig ist, kann man mit einem sehr einfachen Test herausfinden. Ich hatte im Blog-Beitrag Ist dein Browser f\u00fcr Crypto-Mining anf\u00e4llig?<\/a> auf die M\u00f6glichkeit hingewiesen, den Browser auf Anf\u00e4lligkeit gegen\u00fcber Crypto-Jacking pr\u00fcfen zu lassen.<\/p>\n Opera hat dazu die Webseite cryptojackingtest.com aufgesetzt. Aber ich m\u00f6chte einen Schritt weiter gehen. Wom\u00f6glich will sich der eine oder andere Leser (oder Leserin) selbst ein Gef\u00fchl daf\u00fcr verschaffen, wie sich ein Crypto-Miner, der heimlich als Crypto-Jacker im Browser mitl\u00e4uft, anf\u00fchlt.<\/p>\n Ich k\u00f6nnte jetzt eine entsprechende Testseite hier im Blog aufsetzen. Seit ich aber mal \u00fcber einen Pishing-Versuche detailliert berichtete und dann durch irgendwelche dummen Algorithmen, die durch Leerzeichen deaktivierte Links als gef\u00e4hrlich einstuften, auf Blacklists gelandet sind, h\u00e4lt sich mein Experimentierwille diesbez\u00fcglich in Grenzen. Wer Crypto-Mining im Browser f\u00fcr Tests laufen lassen m\u00f6chte, wird auf dieser Webseite (entfernt) f\u00fcndig.<\/p>\n Sobald man die obige Webseite aufruft, beginnt ein Monero Miner zu sch\u00fcrfen \u2013 was ja Zweck der Testseite ist. Ruft man unter Windows den Task-Manager auf, erkennt man in der CPU-Auslastung der Tasks, dass der Miner heftig aktiv ist. In obigem Bild belegt der Chrome-Prozess 98% der CPU-Leistung. \u00dcber den Task-Manager kann man also schon erkennen, ob ein Miner aktiv ist. Der Task l\u00e4sst sich auch \u00fcber den Task-Manager beenden. Im Blog von Malwarebytes befasst sich dieser Artikel<\/a> ebenfalls mit der Thematik.<\/p>\n Im Hinblick auf einen Schutz gegen Crypto-Jacking im Browser k\u00f6nnte man auf den Opera-Browser ausweichen. Dieser hat ja in aktuellen Versionen einen Schutz eingebaut. F\u00fcr den Firefox-Browser gibt es z.B. das Miner Blocker Plugin. Auch f\u00fcr Google Chrome steht die Erweiterung Miner-Blocker (gel\u00f6scht) zur Verf\u00fcgung. Der Autor hat diese Github-Seite<\/a> zum Blocker angelegt.<\/p>\n Das Plugin NoMiner<\/a> verspricht f\u00fcr den Firefox den gleichen Schutz vor Minern. Bei Quarz gibt es einen Artikel<\/a> zum Thema, der Blocker empfiehlt. Interessant ist ein englischsprachiger AVAST Blog-Beitrag<\/a>, der ebenfalls diese Erweiterungen f\u00fcr den Browser empfiehlt. Wer mit AdBlockern arbeitet, k\u00f6nnte die folgende URL blockieren<\/p>\n https: \/ \/ coinhive [dot] com \/ lib \/ mine r. min[.]js<\/em><\/p>\n wie dieser Beitrag skizziert (die [] und Blanks in obiger URL habe ich eingef\u00fchrt, damit die Virenscanner im Blog wegen des vermeintlichen Miners nicht anschlagen). Weiterhin gibt es Tools wie die AdGuard Desktop-App f\u00fcr Windows, die nach einer Installation eine Warnung vor Minern anzeigen (siehe<\/a>).<\/p>\n Bei jedem dieser Tools, die installiert werden, sollte man sich vorher aber schlau machen, ob das wirklich das tut, was es verspricht. Es ist davon auszugehen, dass auch 'b\u00f6se Buben' bald Minerblocker mit Beifang f\u00fcr arglose Benutzer bereitstellen. Eine Websuche und Studium der Bewertungen kann da weiter helfen.<\/p><\/blockquote>\n Da Crypto-Jacking auch \u00fcber Anwendungen, installiere Malware oder Apps erfolgen kann, empfehlen Fachleute das Blockieren der \u00f6ffentlichen Adressen der Miner-Pools im Netzwerk. The Hacker News hat hier einen Artikel<\/a> zum Thema publiziert. Dort findet man auch Miner-Adressen.<\/p>\n Eine M\u00f6glichkeit, diese Miner-Pool-Adressen auf einer Maschine zu blocken, bietet die Datei hosts <\/em>(siehe auch diesen Artikel<\/a>). Unter Windows findet sich diese unter %windir%\\system32\\drivers\\<\/em> \u2013 ist aber nur f\u00fcr Administratoren zug\u00e4nglich. Auf WindowsPro findet sich dieser Artikel<\/a> mit ein paar Hinweisen zur Hosts-Datei. Blog-Leser Malte, der im zweiten Teil zu Wort kommt, hat mich vor einiger Zeit auf diese Github-Seite aufmerksam gemacht. Dort werden verschiedene Blockerlisten, auch f\u00fcr die Hosts-Datei gef\u00fchrt.<\/p>\n Antivirus-Produkte erhalten inzwischen nach und nach einen Schutz gegen Crypto-Jacking. Beim Windows Defender und Microsoft Security Essentials ist da zwar noch nichts zu finden. Aber AVAST geht in diesem Blog-Beitrag<\/a>\u00a0darauf ein, dass ein eigenes Produkt gegen Crypto-Jacking hilft. Auch Malwarebytes Web Protection scheint seit September 2017 gegen Miner vorzugehen und diverses zu blocken (siehe<\/a>). Der Browserschutz von Avira soll ebenfalls Miner erkennen und blockieren (siehe<\/a>). Hier ggf. die verwendete Antivirus-L\u00f6sungen auf entsprechende Funktionen abklopfen.<\/p>\n Der Artikel ist Work in Progress \u2013 der einfach einen Startpunkt liefert. Vermutlich habt ihr weitere Ans\u00e4tze, die in den Kommentaren diskutiert werden k\u00f6nnen. In Teil 2<\/a> gibt Blog-Leser Malte noch ein paar Hinweise.<\/p>\n Artikelreihe:<\/strong> Crypto-Mining ist auf dem Vormarsch, kaum ein Tag, an dem es nicht eine neue Meldung dazu gibt. In zwei Blog-Beitr\u00e4gen m\u00f6chte ich das Thema aus Sicht des Nutzers beleuchten. Was ist Crypto-Mining, was hei\u00dft Crypto-Jacking, wie kann ich Miner erkennen … Weiterlesen Crypto-Jacking, die dunkle Seite der Geschichte<\/h2>\n
Crypto-Jacking im Trend<\/h2>\n
Test auf Crypto-Miner im Browser<\/h2>\n
![\"cryptojackingtest.com\"](\"https:\/\/i.imgur.com\/U9eGx4S.jpg\" "\\"cryptojackingtest.com\\"")
<\/p>\n![\"CPU-Auslastung](\"https:\/\/i.imgur.com\/NGoQvrY.jpg\" "\\"CPU-Auslastung")
<\/p>\nWas kann ich gegen Crypto-Jacking tun?<\/h2>\n
\nWissen: Crypto-Mining\/-Jacking erkennen und verhindern<\/a> \u2013 Teil 1
\nWissen: Crypto-Mining\/-Jacking verhindern<\/a> \u2013 Teil 2<\/p>\n","protected":false},"excerpt":{"rendered":"