Crypto-Malware - Eine wachsende Bedrohung?

Crypto-Malware

Eine wachsende Bedrohung?

Ahmet Hrnjadovic
von Ahmet Hrnjadovic
am 03. Dezember 2020
Lesezeit: 7 Minuten

Keypoints

So funktioniert Crypto-Malware

  • Crypto Preise steigen in letzter Zeit stetig an
  • Mining-Malware wird immer profitabler
  • Für Hacker, die Mining-Malware verbreiten, sind Business-Funktion und Sicherheitskritikalität eines Systems zweitrangig
  • Das Waschen von Crypto-Beträgen stellt Hacker vor neue Herausforderungen

Der aktuelle Anstieg der Cryptopreise bringt auch bösartige Akteure auf den Plan. Eine neue Welle an Mining-/Crypto-Malware könnte bevorstehen.

Der Bull-Run in 2017 hat den Nutzen von Crypto-Währungen auch für bösartige Akteure erhöht. Populäre Crypto-Währungen entstehen durch sogenanntes Schürfen. Das Schürfen von Crypto-Währungen benötigt signifikante Rechenleistung. Von Hackern kompromittierte Systeme, können unabhängig von ihrer Funktion zum Schürfen von Crypto-Währungen missbraucht werden. Hierbei besteht kein Bedarf, Systeme anzugehen, die speziell gehärtet oder geschützt sind. Ältere Systeme, die aufgrund ihrer Business-Funktion anderweitig wenig interessant sind, können mit steigenden Cryptopreisen lohnende Ziele werden.

Eine weitere Art, Crypto zu erlangen, ist über Erpressung. Hacker können mit der Publikation sensitiver Informationen oder der Lahmlegung geschäftskritischer Infrastruktur Druck auf Personen und Firmen aufbauen und Lösegeldzahlungen in Crypto verlangen.

Funktionsweise

Wenn ein Miner einen validen Block findet, erhält er einen Block-Reward. Hierzu muss in dem von ihm präparierten Block seine Crypto-Adresse spezifiziert werden. Kleine Miner haben nicht die Ressourcen für das Solo-Mining und schliessen sich üblicherweise sogenannten Mining-Pools an. Diese zahlen Gewinne an ihre Mitglieder proportional zu deren Schürfleistungen aus.

Im Falle einer Erpressung, wird dem Opfer die Adresse bekannt gegeben, auf die es das Lösegeld einzahlen soll. In der Vergangenheit stellten der Kauf und das Versenden von Crypto eine signifikante Hürde dar. Mittlerweile stellt sich das einfacher dar und das Erlangen von Crypto sowie die Zahlung von Crypto-Lösegeldern ist weniger beschwerlich.

Gegenmassnahmen

Welche Möglichkeiten bieten sich Strafverfolgungsbehörden, wenn die Druckmittel der Hacker eine Organisation zur Auszahlung eines Crypto-Lösegelds zwingen oder eine andauernde Mining-Operation auf fremder Hardware entdeckt wird? Eine Möglichkeit ist, der Spur des Geldes zu folgen. Bitcoin-Transaktionen zum Beispiel lassen sich sehr gut analysieren, da Sender, Empfänger und Betrag offen in der Blockchain festgehalten werden. Somit kann der Fluss von illegalen Beträgen nachvollzogen und verfolgt werden, wenn irgendeine Absender- oder Empfängeradresse in der Transaktionskette bekannt ist. Bei Lösegeldforderungen ist die Empfängeradresse natürlich bekannt. Bei Mining-Malware kann sie durch Reverse-Engineering der Malware ermittelt werden. Gehört die Auszahlungsaddresse einem Mining-Pool, können die Betreiber des Mining-Pools unter Druck gesetzt werden, die interne Auszahlungsadresse der Personen freizugeben, welche die mit Mining-Malware infizierten Maschinen registriert haben. Es kann sich schwierig gestalten, die Personen, die hinter einer Bitcoin-Adresse stehen, zu identifizieren. Eine Bitcoin-Adresse repräsentiert ein Public-/Private-Key-Pair. Ein Public-Key verrät per se keine Informationen über den Halter des assoziierten Private-Keys, also über die Person, welche die Bitcoin an der Adresse kontrolliert.

Irgendwann möchten bösartige Akteure ihre erbeuteten Crypto-Beträge für Transaktionen in der realen Welt verwenden. Wenn zum Beispiel ein Auto mit schmutzigem Bitcoin gekauft wird, ist die Person, welche es abholt oder geliefert bekommt, mindestens bei den Strafverfolgungsbehörden verdächtig.

Die Möglichkeit der Bezahlung von Waren mit Crypto-Währungen ist noch nicht weit verbreitet. Daher wird momentan oft noch ein Umtausch in amtliche Zahlungsmittel angestrebt. Nach dem Umtausch in regierungskontrollierte Zahlungsmittel, offenbaren sich zahlreiche Hürden, die sich ausserhalb des Rahmens dieses Artikels befinden. Der Umtausch kann grundsätzlich mit jedem durchgeführt werden, der Crypto für Fiatgeld kaufen will. Dies findet jedoch meistens auf zentralisierten Crypto-Börsen statt, welche einen Marktplatz für Crypto-Handel zur Verfügung stellen, wo sich Käufer und Verkäufer treffen. Hier können auch relativ hohe Crypto-Beträge umgetauscht werden. Das tägliche Handelsvolumen einer top 5 Crypto-Börse liegt im Bereich von 1 bis 3 Milliarden US-Dollar. Um auf einer zentralisierten Crypto-Börse zu handeln, muss der Nutzer die Beträge bei der Börse deponieren und gibt die Kontrolle über diese somit aus der Hand. Die Crypto-Börse stellt einen Kontrollpunkt dar, an dem Behörden eingreifen können, um zum Beispiel Crypto-Beträge zu beschlagnahmen. Weiterhin muss sich ein Benutzer zum Handeln mit nicht-trivialen Beträgen identifizieren, auch KYC (Know Your Customer) genannt.

Es gibt ebenfalls dezentrale Handelsplätze, welche im wesentlichen nur Käufer und Verkäufer zusammenführen. Nutzer müssen hier die Kontrolle über ihre Crypto-Beträge nicht abgeben oder einen KYC-Prozess durchlaufen. Zum Zeitpunkt des Schreibens dieses Beitrags sind dezentrale Börsen jedoch langsamer und teurer als zentralisierte Börsen. Die Umwandlung in amtliche Währungen ist auch nicht trivial und kann nur über sogenannte Stable Coins stattfinden. Das Thema dezentrale Börsen übersteigt den Rahmen dieses Artikels.

Im Wesentlichen sind die Probleme mit illegal erlangten Crypto-Beträgen ähnlich gelagert, wie die bei amtlichen Währungen.

Waschen von Crypto-Beträgen

Ein gangbarer Ansatz um seine Spuren zu verwischen, ist die Umwandlung in eine andere Crypto-Währung. Nicht alle Cryto-Währungen sind ähnlich transparent wie Bitcoin. Monero zum Beispiel, wurde mit Privatsphäre im Sinn konzipiert. Illegal erworbene Bitcoin-Beträge können über verschiedene Umwandlungsdienste, die keine Registrierung voraussetzen, in Monero umgewandelt werden. Ein typischer Workflow ist die Angabe der Zielwährung und Addresse, in unserem Fall Monero, wonach Bitcoin auf eine vom Umwandlungsdienst designierte Adresse deponiert wird.

Diese Dienste operieren oftmals in Staaten, die kein KYC zur Voraussetzung machen. Je nach Dienst, kann es Liquiditätseinschränkungen geben. In jedem Fall kann der Umtausch über eine Reihe kleinerer Transaktionen über verschiedene Anbieter abgewickelt werden. Das minimiert das Risiko grösserer Verluste und wirkt Liquiditätseinschränkungen entgegen. Hat man erstmal seine Beträge in Monero umgewandelt, sind diese reingewaschen. Die Monero-Blockchain verschleiert den Absender, Empfänger und Betrag einer Transaktion. Von hier aus kann Monero auf einer zentralisierten Crypto-Börse zurück in andere Crypto- oder amtliche Währungen getauscht werden. Dabei ist es unerheblich, ob die Identität des Benutzers der Börse bekannt ist.

Eine andere Methode die Herkunft von Beträgen zu verschleiern, sind sogenannte Coin-Mixer bzw. Tumbler. Eine Reihe von Teilnehmern zahlt üblicherweise den gleichen Betrag an den Mixer, woraufhin diese durchgemischt und an neue Adressen ausgezahlt werden. Die Verbindung zwischen Eingabe- und Ausgabeadressen wird mit diesem Prozess gekappt. Dies kann in einer Zero-Trust-Manier implementiert werden, d.h. die Teilnehmer müssen weder einander oder dem Mixer-Dienst vetrauen. Ein Beispiel einer solchen Methode, ist der Chaumian CoinJoin, der vom Wasabi-Wallet direkt unterstützt wird. Abhängig vom Verschmutzungsgrad der Crypto-Beträge und jemandes moralischer Ausrichtung, kann ein Mixen leicht verschmutzter Crypto-Beträge, wie zum Beispiel durch Mining-Malware erlangte, mit viel schmutzigeren Beträgen (erlangt durch schwere Verbrechen) einen Nachteil darstellen. Die Praxis mehrere sequenzielle Mix-Durchläufe vorzunehmen, kann die Herkunft von Crypto-Beträgen noch weiter verschleiern.

Fazit

Mit dem kommenden Crypto-Preisanstieg kann sich die Profitabilität der beschriebenen Angriffe erhöhen. Sicherheitskontrollen sollten erwogen und eingeführt werden, um diesem Risiko entgegenzuwirken.

Über den Autor

Ahmet Hrnjadovic

Ahmet Hrnjadovic arbeitet seit dem Jahr 2017 im Bereich Cybersecurity, wobei er sich auf die Bereiche Linux, sichere Programmierung und Web Application Security Testing fokussiert. (ORCID 0000-0003-1320-8655)

Links

Sie wollen die Resistenz Ihres Unternehmens auf Malware prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
SAML 2.0, OPenID Connect, OAuth 2.0

SAML 2.0, OPenID Connect, OAuth 2.0

Ahmet Hrnjadovic

Linux Bind-Shell in Assembler

Linux Bind-Shell in Assembler

Ahmet Hrnjadovic

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv