![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Microsoft reagiert auf die sprunghaft gestiegene Verbreitung illegaler Krypto-Miner. In Business-Umgebungen kann Windows Defender Advanced Thread Protection (ATP) Miner erkennen und eliminieren. <\/p>\nMicrosoft reagiert auf die sprunghaft gestiegene Verbreitung illegaler Krypto-Miner. In Business-Umgebungen kann Windows Defender Advanced Thread Protection (ATP) Miner erkennen und eliminieren. <\/p>\n
<\/p>\n
Krypto-Miner, die illegal zum Sch\u00fcrfen von Krypto-Geld in Apps, Webseiten oder Anwendungen genutzt werden, stellen mittlerweile eines der gr\u00f6\u00dften Probleme dar. Ich hatte k\u00fcrzlich eine eigene Artikelreihe im Blog, der zeigt, wie man solche Miner erkennen und wie man sich davor sch\u00fctzen kann (siehe Linkliste am Artikelende).<\/p>\n
In einem l\u00e4ngeren Blog-Beitrag Invisible resource thieves: The increasing threat of cryptocurrency miners<\/a> vom 13. M\u00e4rz 2018 befasst sich Microsoft ganz offiziell mit dem Thema Miner. <\/p>\n Einerseits ist Krypto-Geld seit dem H\u00f6henflug des Bitcoin-Kurses im \u00f6ffentlichen Fokus (wenn dein Physiotherapeut dich anspricht und fragt, ob er Bitcoins kaufen soll, ist das Thema in den hintersten Stuben angekommen). Andererseits hafte Krypto-Geld ein negativer Ruf an, seit Cyberkriminelle von Ransomware-Opfern L\u00f6segeldzahlungen inform von Krypto-Geld verlangten. Laut Microsoft war das kein unerwarteter Schritt – digitale W\u00e4hrungen bieten die Anonymit\u00e4t, die sich Cyberkriminelle w\u00fcnschen. Der starke Anstieg des Wertes digitaler W\u00e4hrungen ist ein Gl\u00fccksfall f\u00fcr Cyberkriminelle, die Bitcoins erfolgreich von L\u00f6segeldopfern erpresst haben.<\/p>\n Diese Dynamik treibt die cyberkriminellen Aktivit\u00e4ten im Zusammenhang mit Krypto-W\u00e4hrungen voran und hat zu einer Explosion des Einsatzes von nicht legalen Krypto-Minern gef\u00fchrt. Ich hatte es ja in diversen Beitr\u00e4gen ausgef\u00fchrt: Per se sind Krypto-Miner nichts schlechtes, es gibt legale M\u00f6glichkeiten, Krypto-Geld zu sch\u00fcfen. Einige Einzelpersonen und Organisationen investieren in Hardware und zahlen auch die Stromrechnung, um legal Krypto-Geld zu sch\u00fcrfen. Zum Problem wird es, wenn Cyber-Kriminelle nach alternativen Quellen f\u00fcr die Rechenleistung suchen und mit ihren Minern in Unternehmensnetzwerke eindringen. Obwohl es sich nicht um b\u00f6sartige Malware handelt, die Daten verschl\u00fcsselt oder absaugt, sind Miner in Unternehmensumgebungen nicht erw\u00fcnscht, denn sie ziehen wertvolle Computerressourcen ab. Zudem gibt es immer die Gefahr, dass \u00fcber die eingeschleusten Krypto-Miner andere Schweinereien nachgeschoben werden. <\/p>\n Microsoft hat hier<\/a> das obige Diagramm ver\u00f6ffentlicht, welches zeigt, wie viele Krypto-Miner-Angriffe Monat f\u00fcr Monat entdeckt werden. Die im Blog-Beitrag<\/a> beschriebenen Infektionswege variieren dabei. Generell werden die Verbreitungswege von Malware (DDE exploit, Anh\u00e4nge von Mails etc.) genutzt. Im Gegensatz zu Minern, die auf Webseiten lauern und beim Abruf der Seite im Browser aktiv werden, versuchen die Cyber-Kriminellen die Krypto-Miner in Unternehmen persistent einzuschleusen (sprich: Die sollen eigentlich rund um die Uhr sch\u00fcrfen). <\/p>\n Zudem ist Microsoft auch Support Scam aufgefallen, wo Nutzer falsche Sicherheitswarnungen erhielten. In einem Popup (siehe obige Abbildung) wurde dem Benutzer eine angebliche Windows Defender Sicherheitswarnung angezeigt. Im Popup war dann eine Telefonnummer f\u00fcr Support eingeblendet. <\/p>\n Nachdem sich das Problem auch f\u00fcr Unternehmensumgebungen ausw\u00e4chst, hat sich das Windows Defender-Team dem angenommen. Miner werden dabei in zwei Klassen unterteilt:<\/p>\n Der PUA-Schutz ist standardm\u00e4\u00dfig im System Center Configuration Manager<\/a> aktiviert. Sicherheitsadministratoren k\u00f6nnen die PUA-Schutzfunktion auch mithilfe von PowerShell-Cmdlets oder Microsoft Intune aktivieren und konfigurieren<\/a>.<\/p>\n Weiterhin blockiert Windows Defender AV potenziell unerw\u00fcnschte Anwendungen, wenn ein Benutzer versucht, die Anwendung herunterzuladen oder zu installieren, und die betreffende Programmdatei eine von mehreren Bedingungen erf\u00fcllt. Potentiell unerw\u00fcnschte Anwendungen, die blockiert sind, werden in der Quarant\u00e4ne-Liste in der Windows Defender Security Center-Anwendung angezeigt.<\/p>\n Im September 2017 waren nur rund 2 % der potenziell unerw\u00fcnschten und vom Windows Defender AV blockieren Anwendungen, Miner. Diese Zahl ist im Januar 2018 auf rund 6% angestiegen, ein weiteres Indiz f\u00fcr die Zunahme dieser unerw\u00fcnschten Anwendungen in Unternehmensnetzwerken.<\/p>\n Windows 10 Enterprise-Kunden profitieren vom Windows Defender Advanced Threat Protection-Schutz. Dieser stellt ein breites B\u00fcndel an Sicherheitsfunktionen bereit, die vor Minern und anderer Malware sch\u00fctzt. <\/p>\n Windows Defender AV<\/a> verwendet einen Multiple Layers-Protection<\/a>-Ansatz, um neue Angriffe zu entdecken und unsch\u00e4dlich zu machen. Am einfachsten ist es, die Minater per PUA-Protection<\/a> in Windows Defender AV zu blocken. In Unternehmen lassen sich \u00fcber Windows Defender Application Control<\/a> Richtlinien aufsetzen, die verhindern, dass Angestellte sch\u00e4dliche und nicht autorisiert Anwendungen installieren. <\/p>\n Trojanisierte Krypto-Miner lassen sich \u00fcber maschinelles Lernen im Window Defender AV erkennen und sofort blocken (siehe auch Windows Defender stoppt Malware-Kampagne<\/a>). Durch die Nutzung des Antimalware Scan Interface (AMSI)<\/a> l\u00e4sst sich script-basierte Malware inspizieren. Der Windows Defender AV kann so auch skriptbasierte Miner erkennen und eliminieren. <\/p>\n Malware mit ausgefeilteren Verhaltensweisen oder Ankunftsmethoden wie DDE-Exploits und b\u00f6sartige Skripte, die von E-Mail- oder Office-Anwendungen gestartet werden, k\u00f6nnen mithilfe von Windows Defender Exploit Guard, insbesondere der Funktionen zur Reduzierung der Angriffsfl\u00e4che und des Exploit-Schutzes, abgeschw\u00e4cht werden. <\/p>\n B\u00f6sartige Websites, die Miner-Scripte beherbergen, wie z. B. Support Scam-Betrugsseiten, k\u00f6nnen von Microsoft Edge mithilfe von Windows Defender SmartScreen und Windows Defender AV blockiert werden. <\/p>\n F\u00fcr die Sicherheit im Unternehmensnetzwerk zust\u00e4ndige Administratoren k\u00f6nnen die erweiterten Bibliotheken zur Erkennung von Verhaltensweisen und maschinellem Lernen in Windows Defender ATP<\/a> verwenden, um Miner-Aktivit\u00e4ten und andere Anomalien im Netzwerk zu erkennen. <\/p>\n Es steht also ein ganzes Arsenal an Abwehrstrategien f\u00fcr Unternehmen zur Verf\u00fcgung. Und selbst im privaten Umfeld bietet der Windows Defender bereits einen gewissen Schutz gegen unerw\u00fcnschte Software mit Minern. Details k\u00f6nnen hier<\/a> nachgelesen werden. <\/p>\n \u00c4hnliche Artikel:<\/strong> Mac Store-App Calendar 2 mit Krypto-Miner in der Free-Version<\/a> Microsoft reagiert auf die sprunghaft gestiegene Verbreitung illegaler Krypto-Miner. In Business-Umgebungen kann Windows Defender Advanced Thread Protection (ATP) Miner erkennen und eliminieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[6731,4328,4325],"class_list":["post-202071","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-krypto-miner","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=202071"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202071\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=202071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=202071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=202071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Bitcoins\"](\"https:\/\/i.imgur.com\/RNnVYPr.jpg\"\/ "\\"Bitcoins\\"")
(Quelle: Pexels David McBee<\/a> CC0 License) <\/p>\n![\"Krypto-Miner](\"https:\/\/i.imgur.com\/fIAL1LE.jpg\"\/ "\\"Krypto-Miner")
(Quelle: Microsoft)<\/p>\n![\"Tech](\"https:\/\/i.imgur.com\/XGhRXCN.jpg\"\/ "\\"Tech")
<\/a>(Quelle: Microsoft)<\/p>\nWindows Defender ATP sch\u00fctzt<\/h2>\n
\n
![\"Zunahme](\"https:\/\/i.imgur.com\/DSrOIXi.jpg\"\/ "\\"Zunahme")
(Quelle: Microsoft)<\/p>\n
Wissen: Crypto-Mining\/-Jacking erkennen und verhindern<\/a>
Wissen: Crypto-Mining\/-Jacking verhindern \u2013 Teil 2<\/a><\/p>\n
Millionen PCs mit Krypto-Mining-Tool XMRig infiziert<\/a>
YouTube liefert Werbung mit Krypto-Miner aus<\/a>
Fake Krypto-Geld-Wallet-Apps in Google Play gefunden<\/a>
Chrome-Extension Archive-Poster verteilt Krypto-Miner<\/a>
Massive Krypto-Mining Kampagne gegen WordPress-Sites<\/a>
Krypto-Miner attackiert Windows Server 2003 (IIS 6.0)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"