![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Ein ungenannter europ\u00e4ischer Flughafen ist Opfer einer Crypter-Miner-Attacke geworden. Gut 50 % der Systeme waren \u00fcber Monate durch Crypto-Miner infiziert. Installierte Antivirenprogramme hatten die Infektion nicht verhindert. <\/p>\nEin ungenannter europ\u00e4ischer Flughafen ist Opfer einer Crypter-Miner-Attacke geworden. Gut 50 % der Systeme waren \u00fcber Monate durch Crypto-Miner infiziert. Installierte Antivirenprogramme hatten die Infektion nicht verhindert. <\/p>\n
<\/p>\n
Das Unternehmen Cyberbit schreibt in diesem Blog-Beitrag<\/a>, dass die Infektion erst beim Rollout der Cyberbit EDR-Software im Netzwerk des internationalen Flughafen in Europa aufgefallen sei. Bei Cyberbit EDR handelt es sich um eine fortschrittliche Plattform zur Verhaltenserkennung und Bedrohungssuche. <\/p>\n W\u00e4hrend des Standard-Rollout-Prozesses wurden die EDR-Agenten auf Kernel-Ebene auf den Arbeitspl\u00e4tzen des Kunden installiert. Dieser Agent sammelt Endpunktaktivit\u00e4ten, die in einem Big-Data-Repository zentralisiert abgelegt werden. Dort lassen sie sich mit Hilfe einer Reihe von Verhaltensalgorithmen analysieren. Die Algorithmen generieren dann Warnmeldungen, sobald er ein potenziell sch\u00e4dliches Verhalten von Endpunkten erkennt. Das Analystenteam von Cyberbit untersucht diese Warnmeldungen und f\u00fchrt Whitelists legitimer Prozesse durch. Dies erm\u00f6glicht den Kunden eine genaue Erkennung von Aktivit\u00e4ten von Schadsoftware, wenn diese Antiviren-Systeme umgehen. Gleichzeitig werden im laufenden Betrieb minimiert Fehlalarme nach dem Rollout eliminiert.<\/p>\n W\u00e4hrend dieses Rollout-Prozesses warnten die verhaltensbasierenden Algorithmen vor einer verd\u00e4chtigen Verwendung des PAExec-Tools. Das Tool wurde \u00fcber einen kurzen Zeitraum mehrfach verwendet, um eine Anwendung namens player.exe<\/em> zu starten. PAExec ist eine weiterverteilbare Version von Microsofts PSExec, mit der Windows-Programme auf Remote-Systemen ausgef\u00fchrt werden k\u00f6nnen, ohne dass Software auf diesen Systemen physisch installiert werden muss. Die Verwendung von PAExec ist oft ein Hinweis auf b\u00f6sartige Aktivit\u00e4ten, speziell, wenn eine wiederholte Verwendung des Tools festgestellt wird. <\/p>\n Dar\u00fcber hinaus hat die Verhaltensanalyse die Verwendung von Reflective DLL Loading nach dem Ausf\u00fchren von player.exe<\/em> erkannt. Dies ist eine Technik, um eine DLL remote in einen Prozess einzubinden, ohne den Windows-Loader zu verwenden und den Zugriff auf die Festplatte zu vermeiden. Reflektierendes DLL-Laden ist eine typische Verteidigungstaktik, die von Angreifern verwendet wird, um das Laden von b\u00f6sartigen Dateien zu verbergen. Diese Kombination der beiden verd\u00e4chtigen Verhaltensweisen l\u00f6ste einen EDR-Alarm mit hoher Priorit\u00e4t aus, den die Sicherheitsforscher dann weiter untersuchten.<\/p>\n Basierend auf weiteren, darauf hin durchgef\u00fchrten Analysen konnten die Sicherheitsforscher von Cyberbit diese Malware mit der von Zscaler im August 2018 gemeldeten Anti-Coinminer-Kampagne<\/a> in Verbindung bringen.<\/p>\n Die bittere Erkenntnis aus diesem Fall: Die Malware kann Monate vor der Installation von Cyberbit EDR verwendet worden sein, obwohl alle Arbeitspl\u00e4tze mit einem Antivirenprogramm nach Industriestandard ausgestattet waren. Obwohl mehr als ein Jahr vergangen ist, seit Zscaler diese Malware im August 2018 gemeldet hat, konnten nur 16 von 73 Erkennungsprodukten auf VirusTotal die Datei als b\u00f6sartig erkennen. Und die Sicherheitsl\u00fccken zur Verbreitung des Crypto-Miners h\u00e4tten auch zur Verteilung weit sch\u00e4dlicherer Malware ausgenutzt werden k\u00f6nnen. Weitere Details sind diesem Artikel<\/a> zu entnehmen. (via<\/a>)<\/p>\n \u00c4hnliche Artikel:<\/strong> Ein ungenannter europ\u00e4ischer Flughafen ist Opfer einer Crypter-Miner-Attacke geworden. Gut 50 % der Systeme waren \u00fcber Monate durch Crypto-Miner infiziert. Installierte Antivirenprogramme hatten die Infektion nicht verhindert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[6846,4328],"class_list":["post-223677","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-crypto-mining","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223677"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223677\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Aufgefallen ist dies, als der Anbieter Cyberbit seine Endpoint Detection and Response<\/a> (EDR) Sicherheitsl\u00f6sung auf den IT-Systemen des Flughafens auszurollen begann. Beim Rollout identifizierten die Sicherheitsforscher des Anbieters pl\u00f6tzlich eine interessante Infektion mit einer Crypto-Miner-Software. Gut 50% der (Windows-) Arbeitspl\u00e4tze des Flughafens war durch diese Schadsoftware infiziert. Dieses Ergebnis wirft nat\u00fcrlich die Frage auf, wie es so einfach zur Installation von b\u00f6sartiger Software in Unternehmensnetzwerken kommen kann, obwohl diese durch Antivirenprogramme gesch\u00fctzt werden?<\/p>\n
Entdeckung per verhaltensbasierter Analyse<\/h2>\n
ZScaler-Kampagne installiert Crypto-Miner <\/h2>\n
IT-Ausfall legt am 15.10.2019 die Produktion bei Porsche lahm<\/a>
Ransomware-Befall bei globaler Spedition Pitney Bowes<\/a>
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt<\/a>
Ransomware legt Zahnarzt-Praxen in den USA lahm<\/a>
Texas: \u00dcber 20 Verwaltungen per Ransomware angegriffen<\/a>
Ransomware-Angriffe auf Unternehmen steigen um 365 %<\/a>
Erfolgreicher Cyberangriff auf die Pilz GmbH & Co. KG<\/a>s<\/a>
Ransomware-Infektion beeintr\u00e4chtigt Bristol Airport-Betrieb<\/a>
Flughafen Charles de Gaulle\/Orly und die Sicherheit<\/a>
Sicherheitspanne an New Yorker Flughafen: Daten \u00f6ffentlich abrufbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"