Angriff der Kryptogeld-Sauger

Krypto-Miner: Ihr PC rechnet fremd

2018 ist das Jahr der Krypto-Miner. Das heimliche Schürfen von Kryptogeld auf fremden PCs ist nämlich der neue heiße Scheiß der Crimeware-Szene. Für die ist das „Money for Nothing“ – die Kosten für das Schürfen der Krypto-Coins tragen andere. Zum Beispiel Sie als Besitzer eines missbrauchten PCs.

Von Jürgen Schmidt

Alle Hersteller von Antiviren-Software melden derzeit einen dramatischen Anstieg der Verbreitung bösartiger Mining-Software. Das sind Programme, die heimlich im Hintergrund Krypto-Coins schürfen. Und zwar auf den Rechnern von Leuten, die zwar den Strom dafür bezahlen, davon aber gar nichts wissen. Symantec vermeldet einen wahren „Goldrausch“ mit einem Anstieg der Coin Miner um 8500 Prozent. Bei G Data belegten im letzten Quartal zwei Coin Miner die Plätze 1 und 3 in der Hitliste für „Potenziell Unerwünschte Programme“ und auch Kaspersky und McAfee vermelden Rekordzahlen.

In der Security-Szene hat sich dafür der Fachausdruck Cryptojacking etabliert – ein Kunstwort, das sich aus dem „Crypto“ der Mining-Programme und „Hijacking“ für das Entführen und Kapern fremder Ressourcen zusammensetzt. Das unabhängige Antiviren-Testlabor AV-Test sieht bereits seit Ende 2017 einen rapiden Anstieg der Cryptojacker. Der größte Teil der Malware zielt dabei wie immer auf Windows-Systeme; aber auch für Linux, macOS und Android kommen mehr und mehr Schädlinge in Umlauf. Das einfach zu realisierende Mining im Browser funktioniert auf allen Plattformen, auf denen der eingesetzte Browser JavaScript unterstützt.

Video: Nachgehakt

Die Abzocke mit heimlichem Krypto-Mining kann jeden treffen. Haben Sie vielleicht in den letzten Monaten mal eine etwas dubiose Streaming-Site besucht? Oder kostenlose Software installiert, die sich über Werbung finanziert? In beiden Fällen sind die Chancen gut, dass Ihr Rechner bereits zum Schürfen von Krypto-Geld für andere missbraucht wurde – und vielleicht sogar während Sie das hier lesen, einen Teil seiner Ressourcen dafür einsetzt. Wie Sie das feststellen und verhindern, erklärt der Artikel auf Seite 84 ausführlich.

Miner schürfen Moneros

Schürfen heißt, dass der PC Berechnungen durchführt, die im Erfolgsfall zu einer neuen Coin führen. Doch auch erfolglose Berechnungen mit ungeeigneten Parametern honorieren sogenannte Mining-Pools mit kleinen Beträgen, deren Höhe davon abhängt, wie viel Arbeit man investiert hat. So kann ein Miner dann durchaus eine Tausendstel Krypto-Coin erarbeiten. Das von betrügerischen Krypto-Minern geschürfte Kryptogeld landet dabei direkt im virtuellen Geldbeutel der Gauner. Mit vielen Tausend aktiven Minern und null Kosten lohnt sich das dann auch bei Mini-Beträgen.

Die mit Abstand bekannteste Krypto-Währung ist natürlich Bitcoin. Doch der Hype hat dazu geführt, dass sich Cyber-Kriminelle davon mehr und mehr abwenden. Der Zufluss von Millionensummen führt zu sehr hohen Transaktionskosten für kleinere Geldmengen, wie sie etwa bei Lösegeldzahlungen der Erpressungs-Trojaner anfallen. Und das Schürfen von Bitcoins ist mittlerweile so aufwändig, dass es sich nicht einmal dann lohnt, wenn man auf fremder Hardware rechnet. Bei Bitcoins verdient man kein Geld mehr durchs selber Schürfen, sondern durch das Spekulieren auf den Kurs.

Bei Exoten wie Monero hingegen lohnt das Schürfen mit überschaubaren Standard-Hardware-Ressourcen durchaus (mehr dazu später). Außerdem bietet Monero deutlich mehr Anonymität, die den Hintermännern der betrügerischen Krypto-Miner natürlich sehr gelegen kommt. Bei Bitcoins sind alle Transaktionen in der Blockchain offen einsehbar. Wer verräterische Geldflüsse verbergen will, muss sie durch unzählig viele Überweisungen von Teilbeträgen verschleiern. Das erfordert Aufwand und kostet Geld. Bei Monero hingegen kann man von Haus aus Absender, Empfänger und Umfang einer Transaktion vor Dritten verbergen. Strafverfolger haben praktisch keine Möglichkeit, „der Spur des Geldes zu folgen“.

Mining im Browser

Konkret gibt es zwei Methoden, wie Kriminelle auf Ihrem System Coins schürfen können: durch auf dem System installierte Mining-Programme oder mit Mining-Skripten im Browser. Beide boomen derzeit gewaltig. Doch besonders das heimliche Schürfen im Browser sorgt für Schlagzeilen. Das ist auch kein Wunder: Die versteckten Coin-Miner lauern mittlerweile auf Tausenden Websites.

Wer mal beim Surfen die Systemlast im Auge behält, wird sehr schnell über Websites stolpern, die sich da heimlich bedienen. Dubiose Video-Streaming-Plattformen sind Vorreiter beim neuen Trend. Sie können mit hohen Besucherzahlen und einer langen Verweildauer gleich doppelt punkten. So ein Live-Stream eines Champions-League-Spiels spült einiges an Moneros in die Kassen. Doch auch Porno- und Glücksspielseiten sind mittlerweile regelrecht verseucht.

Zum Kasten: Fakten zu Krypto-Minern

Der enorme Zuspruch liegt vor allem daran, dass das Schürfen im Browser mithilfe von Dienstleistern wie Coinhive wirklich kinderleicht ist. Man bettet dazu im Wesentlichen nur einige Zeilen Code in eine Webseite ein. Jeder Besucher, der diese Webseite lädt, startet dann automatisch den Mining-Code und schürft direkt in den im Code angegebenen Krypto-Geldbeutel – abzüglich der 30 Prozent Provision, die sich Coinhive ins eigene Säckel steckt.

Schon mit einer öffentlichen Suchmaschine findet man über 30.000 Websites, die den Coinhive-Miner-Code laden. Einige davon absichtlich, andere über Werbung – etwa in Googles DoubleClick-Anzeigen auf Youtube. Das populäre, amerikanische Video-Streaming-Portal Showtime lieferte Coinhives Mining-Skripte aus, beendete dies jedoch nach dem Bekanntwerden ohne Kommentar abrupt. In offensichtlich gehackten Webseiten von Los Angeles Times und Blackberry entdeckte der Sicherheitsforscher Troy Mursch ebenfalls Coinhive-Code. Die Liste lässt sich beliebig fortsetzen. Laut Symantec machten Krypto-Miner schon im Dezember 2017 rund ein Viertel aller geblockten Angriffe aus dem Web aus.

Die Macher von Coinhive argumentieren, die offensichtliche Abzocke mit ihren Skripten sei ein großes Missverständnis. Sie sehen das Krypto-Mining im Browser als legitimes Bezahlmodell – etwa als Alternative zur allseits ungeliebten Werbung. Wer es richtig machen wolle, bitte selbstverständlich seine Besucher um Erlaubnis, deren Ressourcen zu nutzen.

Die Streaming-Site SportStream.tv nutzt AuthedMine; nach unserer Zustimmung schnellte die CPU-Last auf allen vier Cores des Testrechners auf 100 Prozent.

Zum Kasten: Browser-Mining im Selbstversuch

So präsentierte die US-News-Site Salon.com ihren Lesern, die mit einem Adblocker auf die Seite kamen, zeitweise eine Aufforderung, diesen abzuschalten oder die Nutzung ihrer „ungenutzten Rechenkapazitäten“ zu gestatten. Wer das akzeptierte, dessen Rechner schürfte während des Lesens im Hintergrund mit Coinhive Moneros. Doch das war eine seltene Ausnahme. Auf der überwiegenden Mehrzahl der Sites läuft der Coinhive-Code einfach los und schürft mit den CPUs des Systems Moneros – im Zweifelsfall auch unter Volllast (siehe Browser-Mining im Selbstversuch auf Seite 83).

Erst als Coinhive in die öffentliche Kritik geriet, lieferte die Firma eine Version namens AuthedMine nach, die zuerst beim Anwender nachfragt und erst mit dessen Zustimmung zu schürfen beginnt. Doch die wird praktisch nicht eingesetzt. Nicht einmal zwei Prozent aller von Malwarebytes gefundenen Sites mit Coinhives Mining-Code fragten beim Anwender um Erlaubnis. Auch nach unseren Erfahrungen ist es sehr einfach, Sites zu finden, die mit Coinhive ohne viel Federlesens losrechnen. Um jedoch Sites zu finden, die fair spielen und um Erlaubnis fragen, muss man richtig suchen.

Ein interessantes Detail am Rande: Coinhive gehört mittlerweile einem deutschen Start-up-Unternehmen namens Badges2Go, das in Kaiserslautern registriert ist. Das Coin-Mining-Skript wurde offenbar ursprünglich im Umfeld des deutschen Image-Boards Pr0gramm entwickelt, dann aber verkauft, wie der US-amerikanische Blogger Brian Krebs recherchiert hat. Unsere Bitte um ein Interview beantwortete die Firma leider nicht. Neben Coinhive gibt es mittlerweile einige Skripte wie CoinImp, JSEcoin und Crypto-Loot, die ähnlich funktionieren. Sie haben aber bisher bei Weitem nicht die gleiche Verbreitung.

Schürfen mit System

Selbst das Mining während eines stundenlangen Videos bringt dem Seitenbetreiber bestenfalls ein paar Cent. Lohnender wäre es, wenn der Miner rund um die Uhr ackert – oder zumindest immer, wenn das Gerät eingeschaltet ist. Dazu installieren sich Krypto-Miner fest im System und sorgen dafür, dass sie auch nach einem Neustart wieder aktiv werden.

Mit dem direkten Zugriff auf das System kann sich die Miner-Malware auch viel besser vor den Augen des PC-Eigentümers verbergen. So ist es durchaus üblich, dass Krypto-Miner ihre Aktivitäten einstellen, wenn „verdächtige“ Programme wie der Task-Manager aktiv werden (siehe S. 84). Als Parasiten sind Miner auch am Wohlergehen des Wirt-Systems interessiert. Deshalb begnügen sie sich oft mit einem Teil der verfügbaren Rechenkapazitäten. Manche schürfen nur dann, wenn das System nicht anderweitig beschäftigt ist. Und ein Forscher des Internet Storm Centers hat sogar einen Krypto-Miner analysiert, der nach Konkurrenten Ausschau hält und das System davon säubert.

Krypto-Miner kommen oft Huckepack mit anderen Programmen. Selbst scheinbar nützliche Browser-Erweiterungen schürfen oft heimlich im Hintergrund. Besonders häufig verseucht sind zweifelhafte Tools wie Keygens zum Erstellen illegaler Lizenzschlüssel für teure Software oder gecrackte Software-Versionen. Auch die Adware-Szene hat das Krypto-Mining für sich entdeckt. Es gibt sogar schon kostenlose Programme, die ganz offen erklären: „Du kannst unsere Premium-Funktionen kostenlos nutzen, wenn du für uns schürfst.“ Ein Großteil der Adware gibt sich jedoch nicht mit solchen Feinheiten ab und installiert den Krypto-Miner einfach ungefragt.

Doch illegales Krypto-Mining ist nicht auf Kleinkriminelle und die Grauzone rund um Adware beschränkt. Auch das organisierte Verbrechen hat das lukrative Geschäft mit fremden Ressourcen für sich entdeckt. So berichtet etwa Fortinet, dass eine Gruppe, die früher den Erpressungs-Trojaner VenusLocker verbreitet hat, ihre Trojaner-Mails jetzt mit einem Monero-Miner ausstattet. Malwarebytes erwischte im Januar erste Instanzen des in der Crimeware-Szene sehr beliebten Exploit Kits Rig, das über Sicherheitslücken Krypto-Miner in die PCs der Opfer einschleuste.

Bedrohung für Firmen

Um die Kirche im Dorf zu lassen: Der Schaden für den einzelnen Anwender hält sich noch in recht engen Grenzen. Mehr als ein paar Euro kommen dabei kaum zusammen. Der Profit der Kriminellen ergibt sich erst aus der schieren Masse. Anders sieht das bei Firmen aus, die Hunderte von PCs und Server im Einsatz haben. So entdecken Forensiker bei der Analyse von Einbrüchen immer häufiger Krypto-Mining-Malware in Firmennetzen. Das sind dann manchmal zusätzliche Hinterlassenschaften, die etwa nach dem erfolgreichen Diebstahl der Firmendaten noch ein paar Extra-Dollar in die Kassen bringen.

Aber Kasperskys Malware-Experte Anton Ivanov versicherte gegenüber c’t, dass sie durchaus Angriffe sehen, bei denen zwar das professionelle Instrumentarium der Cyber-Kriminellen zum Einsatz kommt, der verfolgte Zweck aber augenscheinlich „nur“ das Verbreiten von Krypto-Minern war. Da wird dann etwa direkt nach dem initialen Erstellen eines Brückenkopfs im Firmennetz eine speziell angepasste Version des Tools Mimikatz eingesetzt, um möglichst viele PCs mit Krypto-Minern zu bestücken und mit denen möglichst lange unbemerkt zu schürfen.

Das Geschäft lohnt sich. Wenn einige Hundert oder Tausend Rechner außerhalb der regulären Arbeitszeiten unbemerkt Moneros minen, kommt schnell eine erkleckliche Summe zusammen. Ivanov schätzt, dass die erfolgreichsten Cybercrime-Gruppen innerhalb von sechs Monaten bereits Millionenbeträge erwirtschaftet haben. Dem gegenüber steht dabei ein Vielfaches an Schaden bei den betroffenen Firmen.

Ein lohnendes Ziel sind ungenügend gesicherte Webserver. Denn die kann man gleich mehrfach missbrauchen. Die auf WordPress-Sicherheit spezialisierte Firma Wordfence entdeckte auf kompromittierten Servern Krypto-Miner, die bereits über 100.000 US-Dollar erwirtschaftet hatten. Trend Micro warnte im Januar vor gezielten Angriffen, die bekannte Lücken in Apache Struts und DotNetNuke ausnutzten, um Monero-Miner für Windows und Linux auf Servern zu installieren. Die Sicherheitsfirma Sucuri hingegen beschreibt Angriffe auf WordPress- und Magento-Sites, die Coinhive-Code in deren Web-Seiten einschleusten und so deren Besucher anzapften.

Eine besonders heimtückische Attacke traf kürzlich den Elektroauto-Hersteller Tesla. Die Angreifer erlangten dabei Zugriff auf Teslas Kubernetes-Server. Der verwaltet Docker-Instanzen in angemieteten Cloud-Ressourcen bei Amazon (AWS). Dort testen und simulieren dann normalerweise Tesla-Ingenieure unter anderem die neuen Autos. Die Angreifer legten dort jedoch einen eigenen Pool von Linux-Containern an, der für sie heimlich Moneros schürfte – während Tesla die Rechnung bezahlte. Dabei gingen die Angreifer offenbar recht umsichtig vor, um unerwünschte Aufmerksamkeit möglichst lange zu vermeiden.

Die Zukunft

Heimliches Krypto-Mining auf Kosten Dritter ist der Trend im Cyber-Untergrund. Dabei ist der noch längst nicht auf dem Höhepunkt angelangt. Denn das Schlimmste steht uns noch bevor. Es gibt bereits erste Anzeichen dafür, dass die Kriminellen Router, Drucker, NAS-Geräte, Web-Cams und andere Dinge mit CPU und Internet-Anschluss ins Visier nehmen. Und wenn das Fahrt aufnimmt, wird es richtig bitter. Denn das Netz der Dinge strotzt nur so vor Sicherheitslücken, die sich trivial ausnutzen lassen. Die Geräte sind oft dauerhaft in Betrieb und bieten dem normalen Anwender keinerlei Funktionen, unerwünschte Parasiten zu erkennen oder gar zu entfernen. Oder wüssten Sie, wie Sie einen Krypto-Miner auf Ihrem Drucker finden?

Die Leistung der einzelnen Geräte ist zwar oft gering; aber ihre Anzahl übersteigt schon jetzt die der richtigen PCs und sie wird in Zukunft noch ganz enorm wachsen. Zählen Sie mal nach, wie viele Geräte schon jetzt in Ihrem Haushalt ans Internet dürfen. Vergessen Sie nicht das NAS, den Drucker, AV-Receiver, Staubsauger-Roboter und andere Dinge, die das Leben angenehmer machen, und extrapolieren Sie das auf Ihren Gerätezoo in zwei, drei Jahren.

Firmen wie Coinhive und Blockchain-Evangelisten feiern das Mining von Krypto-Geld als innovatives Bezahlmodell. Das könne unter anderem die unbeliebte Finanzierung durch Werbung ablösen. Wer bei einer Website Dienste in Anspruch nehmen will, schürft einfach ein bisschen. In der Tat hat die Idee positive Aspekte. Anders als Werbung nerven still im Hintergrund vor sich hinwerkelnde Miner nicht. Und anders als bei den meisten Micro-Payment-Systemen erfolgt die Bezahlung völlig anonym. Das macht das Modell erst mal sympathisch.

Die anfängliche Begeisterung weicht jedoch sehr schnell der Ernüchterung, wenn man die konkrete Kosten/Nutzen-Rechnung aufmacht. Wir haben real nachgemessen – mit Coinhive und einem Test-PC unter Volllast. Mit Coinhive muss ich als Kunde ganze sechs Stunden schürfen, um für einen Web-Dienst 1 Cent zu erwirtschaften. Selbst für realistische Kleinstbeträge müsste ich meinen PC dann schon tageweise zur Verfügung stellen. Die üblicherweise geforderte Vorausbezahlung bedeutet dann schnell eine wochenlange Wartezeit, bis die Website einen Artikel für 50 Cent freischaltet. Bei mir fällt übrigens derweil etwa das Zwanzigfache an Kosten an; die Bilanz weist also rund 95 Prozent Verlust auf.

Das ist in etwa so, als würden Sie beim Bäcker 10 Euro bezahlen, damit der seine 50 Cent für das Sesambrötchen bekommt, mit denen er dann auch noch seine Kosten decken muss. Das Ganze funktioniert also in der Praxis eigentlich nur, wenn man ohne nennenswerte eigene Ausgaben auf Kosten von vielen anderen schürfen kann. Als legales Geschäft, bei dem der Nutznießer des Minings auch Kosten hat, taugt es kaum.

Und dabei sind die Konsequenzen für unser Ökosystem noch gar nicht berücksichtigt. Das leidet nämlich beträchtlich, wenn wir für das Erschaffen virtueller Werte große Mengen realen Strom verbrauchen, um unsinnige Rechenaufgaben zu lösen. Da kann man schon fast hoffen, dass die aktuelle Malware-Schwemme diese Idee ausreichend diskreditiert, um eine Nutzung im normalen Geschäftsverkehr zu verhindern. Und nachdem sowohl Mozilla als auch Google angekündigt haben, das Schürfen im Browser weitgehend zu unterbinden, ist diese Kuh hoffentlich auch bald vom Eis. Was bleibt, ist die Gefahr durch Mining-Malware, die sich fest im System einnistet. Und da wird wohl alles noch viel schlimmer, bevor es besser wird. (ju@ct.de)

Fakten zu Krypto-Minern

Verbreitung: 1. Mining im Browser über Webseiten. 2. Stationäre Miner meist Huckepack über mehr oder weniger legitime Software (Adware, PUA, Cracker). 3. Auch gezielte Angriffe auf Server oder Firmen und erste Exploit-Kits

Schaden: unter 1 Euro pro Tag, bei 24-Stunden Mining unter Volllast. Auf Notebooks und Smartphones saugt es den Akku leer. Eher selten sind Schäden durch Überbeanspruchung und Überhitzung.

Angegriffene Systeme: Alle via Browser; sonst vor allem Windows-Rechner; vermehrt auch Server und Cloud-Ressourcen. Derzeit noch vereinzelt, aber vorhersehbar massiv gefährdet: Router, Drucker und IOT-Geräte

Genutzte Ressourcen: vor allem die CPUs, nur sehr selten auch GPUs

Krypto-Währungen: Vor allem Monero, eher selten Ethereum, IOTA oder Litecoin. Fast nie: Bitcoins (die werden aber gerne mitgenommen, wenn sie auf dem Rechner rumliegen)

Browser-Mining im Selbstversuch

Mühsam nährt sich das Eichhörnchen: Coinhive ist schnell integriert, die Moneros fließen aber nur langsam.

Mit den Mining-Skripten von Coinhive kann man Webseiten-Besucher nach Krypto-Münzen schürfen lassen – gefragt und ungefragt. Wir wollten herausfinden, wie leicht man fremde Rechenleistung abzwacken kann und was dabei herumkommt. Dazu legten wir zunächst einen Test-Account bei Coinhive an. Das war schnell und unkompliziert: Wir mussten lediglich Mail-Adresse, Passwort und Land eingeben und durch einen Klick auf „Verify me“ eine Art Captcha lösen. Nach der Validierung der Mail-Adresse konnte es auch schon losgehen. In der Dokumentation fanden wir die folgenden Zeilen JavaScript zur Einbettung des Mining-Codes:

.lib/authedmine.min.js"></script>

var miner = new CoinHive.Anonymous

('YOUR_SITE_KEY', {throttle: 0.3});

if (!miner.isMobile() &&

!miner.didOptOut(14400)) {

miner.start();

}

</script>

Beim Aufruf der Testseite erschien ein Dialog, der den Besucher höflich fragt, ob es in Ordnung ist, dass der „Prozessor für Rechenoperationen“ genutzt wird. Tatsächlich begann der Rechner erst nach einem Klick auf „Für diese Sitzung erlauben“ mit dem Krypto-Mining. Dabei lastete die Testseite unsere CPU auf allen Kernen zu etwa 75 Prozent aus – halb so wild, schließlich geschah dies ja mit Einverständnis des Besuchers.

Weiter unten in der Anleitung entdeckten wir jedoch noch den Hinweis: „You may load the miner from https://coinhive.com/lib/coinhive.min.js instead if you don’t want to show the opt-in screen.“ Nachdem wir die Skript-Quelle ausgetauscht hatten, blieb die Rückfrage aus und der Rechner des Webseiten-Besuchers machte sich ungefragt ans Werk. Nachdem wir den Parameter „throttle“ angepasst hatten, konnten wir das Testsystem sogar mit maximaler Geschwindigkeit bei 100 Prozent CPU-Auslastung schürfen lassen.

In unserem Coinhive-Dashboard tauchten schnell die ersten Kleinstbeträge in der Krypto-Währung Monero auf, die wir mit unserer Testseite geschürft hatten. Nach der Umrechnung in Euro machte sich jedoch Ernüchterung breit: Das Testsystem mit einem Intel Core i7-6700K Achtkernprozessor (4 GHz) erwirtschaftete mit 100 Prozent CPU-Auslastung pro Stunde 0,00000880 XMR (Monero) – das entsprach umgerechnet gerade einmal 0,16 Cent. In der gleichen Zeit hatte das System für das Mining allerdings Stromkosten in Höhe von 3 Cent verursacht.

Das Mining im Browser ist also offenbar höchst ineffizient. Aus der Perspektive des Webseiten-Betreibers ist das vielleicht egal – schließlich muss er die Stromkosten nicht zahlen. Aus der Sicht des Besuchers ist es jedoch effektiver, den Betreiber etwa durch eine Bitcoin-Transaktion zu unterstützen. (rei@ct.de)