Monero-Botnets: Das unerwünschte Comeback der CPU-Miner
Die CPU. Bild von Dmitry Grigoriev, geteilt über flickr.com. Lizenz: Creative Commons
Immer mehr Leute werden zu Monero-Minern, ohne dass sie etwas davon wissen. Hacker verklaven andere Computer in Botnets und schicken sie in die Monero-Mine. Die Praxis ist schon so verbreitet, dass die Rede umgeht, die Mining-Malware werde die neue Ransomware. Ist das nun gut oder schlecht?
Stellen Sie sich vor, Ihr Computer arbeitet wie verrückt, und Sie wissen nicht, warum. Der Prozessor ist am ächzen, der Arbeitsspeicher ist voll, und der Lüfter dröhnt. Obwohl Sie gar nichts machen.
Oft steht im Hintergrund eine Malware, die Ihr Gerät infiziert hat und Rechenleistung absaugt, um etwas zu machen, irgendetwas. In letzter Zeit steht das „irgendetwas“ immer öfter dafür, dass die Geräte Monero minen. Solche Botnets, die Kryptocoins schürfen, wurden in den letzten Monaten zur Massenerscheinung. Manche Sicherheitsforscher gehen sogar davon aus, dass sie in diesem Jahr weiter verbreitet werden als die Ransomware. Und die wurde in den letzten Jahren zu einer Massenplage, die wieder und wieder für Schlagzeilen gesorgt hat.
„Nachdem der Wert von Kryptowährungen explodiert ist“, schreibt ein Analystenteam von Talos, „wurden mit Mining verwandte Angriffe zu einer bevorzugten Praxis vieler Hacker, denen es dämmert, dass sie damit all die finanziellen Vorteile anderer Angriffe, wie von Ransomware, wahrnehmen können, ohne mit den Opfern in Kontakt treten zu müssen und ohne die extreme Aufmerksamkeit der Strafverfolgung zu provozieren, die Ransomware gewöhnlich begleitet.“
Wie gewohnt schleusen die Angreifer eine Datei auf den Rechner ihrer Opfer, etwa durch eine vielversprechende Bewerbungs-Email. Zum Glück für die Opfer werden nun nicht, wie bei der Ransomware, alle Daten auf der Platte verschlüsselt, sondern es wird ein kleines Programm installiert, das nach Moneros sucht. Der Botnet-Betreiber wird damit zum Mining-Pool, und die Geräte die unfreiwilligen Arbeiter. Ein attraktives Ziel sind, schreiben die Talos-Analysten, Geräte am Internet der Dinge, da sie oft nur sporadisch gewartet werden und in der Masse eine Menge Rechenleistung zusammenbringen.
Die absolut bevorzugte Währung dieser Botnets ist Monero. Die Gründe sind naheliegend: Der Mining-Algorithmus ist Asic-resistent und bevorteiligt Grafikkarten nur schwach. Dies macht ihn für CPU-Miner, wie es Botnets in der Regel sein müssen, relativ profitabel. Als Bonus ist Monero noch besonders anonym. Die Kombination von Ring-Signaturen und Confidential Transactions sorgt für das höchste Maß an Privatsphäre, das man derzeit im Kryptoraum findet. Die illegal geschürften Coins waschen sich sozusagen von selbst.
Die Talos-Analysten stellen fest, dass Mining-Botnets ziemlich lukrativ sein können. „Um es finanziell einzuorden – ein normales System kann am Tag etwa 25 Dollar-cent an Monero einnehmen, was bedeutet, dass ein Angreifer, der sich 2.000 Opfer genommen hat (keine große Sache), am Tag 500 oder im Jahr 182.500 Dollar generieren kann.“ In der Wirklichkeit findet man deutlich größere Botnets. „Talos hat schon Botnets beobachtet, die aus Millionen von infizierten Systemen bestehen, was nach allem, was wir bisher festgestellt haben, bedeutet, dass man diese Systeme nutzen kann, um theoretisch mehr als 100 Millionen Dollar im Jahr zu verdienen.“
Tatsächlich haben sich schon Botnets in dieser Größenordnung gebildet, die Moneros minen. Am 1. Februar berichtet Bleeping Computer vom Smominru Botnetzs, das angeblich aus mehr als 526.000 Geräten besteht, die meisten davon Windows Server. Das Botnetz habe schon über 8.900 Monero geschürft, was zu diesem Zeitpunkt mehr als 2 Millionen Dollar entsprach. Die meisten Opfer stammen aus Russland, Indien, Taiwan, der Ukraine und Brasilien. Damit ist Smominru doppelt so groß wie das Adylkuzz Botnetz, welches bisher das größte Monero-Botnetz war. Wie dieses nutzt Smominru die Eternal Blue Schwäche aus, die lange von der NSA geheimgehalten und benutzt wurde, bis sie schließlich von den Shadowbrokers veröffentlicht wurde. Seitdem wird sie oft für Ransomware ausgenutzt, etwa bei der WannaCry Pandemie.
Nur wenige Tage später, am 5. Februar, berichtet das Magazin schon vom nächsten aufstrebenden Botnetz: „Am Wochenende erschien ein neues Botnetz auf der Bildfläche, und es greift Andoid-Geräte an, indem es nach offenen Ports sucht, um die Opfer mit einer Malware zu infizieren, die Monero erzeugt.“ Das Botnetz entstand erst am vergangenen Samstag. Bisher scheint es aus nur etwa mehr als 7.000 Geräten zu bestehen, doch es wächst rasant. Die meisten Opfer sind aus China und Südkorea, betroffen sind vor allem Fernsehgeräte.
Für Monero hat dies merkwürdige Folgen. Während auf der einen Seite der Preis wie bei derzeit allen Kryptowährungen fällt, steigt die Hashrate weiter an. Die Botnets heben die für Kryptowährungen übliche Verbindung zwischen Mining und Stromkosten auf, da es für den Hacker keine Rolle spielt, wie viel seine Opfer für Strom bezahlen. Anders als andere Miner werden die Botnetze daher nicht mit dem Mining aufhören, wenn die Energiekosten den Ertrag übersteigen. Für die anderen Miner zeitigt das die deprimierende Folge, dass das Mining immer weniger lukrativ wird.
Allerdings war absehbar, dass eine CPU-freundliche Kryptowährung über kurz oder lang zum Spielball von Botnets wird. Manchen in der Monero-Community stößt dies übel auf, weil man damit das Netzwerk in die Hände krimineller Akteure legt. Andere hingegen haben kein Problem mit den Netzen aus Zombie-Rechnern – solange sich die Betreiber an die Regeln halten, helfen sie lediglich, Monero sicherer zu machen.
Bereits Satoshi Nakamoto hat sich mit dieser Frage beschäftigt. Einige Tage, nachdem er im November 2008 sein Bitcoin-Whitepaper veröffentlicht hat, kritisierte jemand, dass das Mining in die Hände von schlechten Akteuren fallen würde. Schließlich haben diese meist die größte Rechenkraft. Satoshi antwortete darauf, dasss dies an sich kein Problem sei. „Selbst wenn ein schlechter Kerl das Netzwerk überwältigt, wäre er nicht augenblicklich reich. Alles, was er erreichen kann, ist es, Geld zurückzubekommen, dass er ausgegeben hat, so, als würde man einen Scheck platzen lassen. Um das zu tun muss er etwas von einem Händler kaufen, warten, bis es versendet wurde, dann das Netzwerk übernehmen und versuchen, sein Geld zurückzubekommen. Ich denke nicht, dass er so viel damit verdienen kann, wie wenn er Bitcoins erzeugt. Mit einer Zombie-Farm in dieser Größe würde er mehr Bitcoins generieren als alle anderen zusammen. Tatsächlich könnte das Bitcoin-Netzwerk auch Spam reduzieren, indem es die Zombie-Farmen dazu bringt, stattdessen Bitcoins zu generieren.“
Und etwas ähnliches passiert derzeit, wenn die Monero-Malware die Ransomware ersetzt. Es ist natürlich nicht eben schön, wenn der eigene Rechner unfreiwillig in der Monero-Mine schuften muss. Aber es ist nicht das schlimmste, was ein Hacker mit einem Botnetz machen kann.
hmmm – lese ich nur schief, oder sehen viele Passagen aus, als wären sie von einem Online-Übersetzungstool ins Deutsch transferiert worden? (z.B.: „die Ihr Gerät infiziert hat und Rechenleistung absaugt, um zu machen, irgendetwas“ – das ist ganz typisch für diese Online Tools).
Nein, ist alles auf meinem Mist gewachsen 🙁
Ich schau’s mir nochmal an.
Schöner Artikel 🙂 Hoffe die Cloudanbieter haben ihre Lücken gestopft 😀 Gut fürs Netzwerk …
Wenn das eigene System kompromittiert ist, ist ein Monero Miner in der Tat wohl das kleinste Übel für einen, da er maximal ein wenig Strom und Bandbreite verbraucht. Optimaler Weise führt das überhaupt dazu, dass der Befall bemerkt wird und entfernt werden kann und man sichert das System entsprechend ab. Die Schuld liegt bei den Herstellern, die ihre Produkte nicht absichern und keine Updates ausliefern, denn der Aufbau großer Botnetze erfolgt fast ausschließlich über Sicherheitslücken, die im Hintergrund ohne Userinteraktion ausnutzbar sind. Zusätzlich wird Monero vermehrt durch JavaScript Browser Miner gut besuchter Webseiten auf den Rechnern der User gemined, was – wenn es moderat eingesetzt wird – eine gute Alternative zu nerviger Werbung sein kann, wenn es um Monetarisierung geht: Ganz ohne (aktive) Micropayments.
Die stetig steigende oder zumindest gleichbleibende Hashrate schützt das Monero Netzwerk langfristig, auch wenn es für GPU Miner deutlich profitablere Optionen gibt. Andere Coins haben da viel größere Schwankungen zu erwarten, denn es gibt (GPU) Mining-Optimierer, die jeweils automatisch auf den Coin switchen, der gerade aufgrund des Kurses den größten Profit abwirft. Das führt teilweise zu extremen Schwankungen und öffnet bei einer plötzlich stark verminderten Hashrate auch Angriffsvektoren. Selbst Bitcoin muss seit dem Cash-Fork um Hashrate konkurrieren und die Schwankungen sind deutlich größer geworden.
Es gibt eine mögliche Lösung des Problems, wenn man Botnet / Browser Mining als Problem sieht: Pooling unterbinden, indem große Teile der Blockchain für den zu minenden Block benötigt werden und somit ein Full Node direkt angebunden sein müsste. Dies wiederum befördert Zentralisierung in Rechenzentren, wo es kein Problem sein dürfte, eine Instanz der Blockchain im schnellem Intranet an beliebig viele Miner zu propagieren. Kleine Miner würden allerdings komplett abgeschreckt werden, da es keine fortlaufenden Einnahmen aus dem Pool mehr bringt, sondern die Wahrscheinlichkeit, einen Block selbst zu finden eher wie Lottospielen ist.
>Stellen Sie sich vor, Ihr Computer arbeitet wie verrückt, und Sie wissen nicht, warum. Der Prozessor ist am >ächzen, der Arbeitsspeicher ist voll, und der Lüfter dröhnt. Obwohl Sie gar nichts machen.
Kenne ich. Warte mal… Nachdem ich das jetzt gelesen habe, geht mir ein Licht auf! Kaspersky Antivirus tut nur so als würde es den Rechner ständig untersuchen… In Wahrheit meint es Monero und schickt es „nach Hause“… Kaspersky Lab muss schön Milliarden heimlich gemacht haben. Sogar viele Unternehmen machen da mit. Wenn sie nur wüßten….
Ich wundere mich schon seit einiger Zeit, warum das eigentlich nicht passiert. Ich erklärte mir das so, daß man mit millionen infizierter Smartphones nicht viele Coins bekommen kann, weil doch mindestens eine leistungsfähige Graphik-Karte brauche, um mithalten zu können. Jetzt ist mir endlich klar, daß sehr wohl Coins über infizierte Computer geschürft werden und das bisher nur niemanden interessiert hat.
Allerdings glaube ich, daß Ransomware trotzdem effektiver ist. Schließlich hatte sogar die Kriminalpolizei schon empfohlen, daß man der Zahlungsaufforderung der Ransomware nachkommen solle…
乱馬
Ransomware:
Infektionswahrscheinlichkeit: sehr gering
Erfolgsrate bei Infektion (Opfer zahlt): sehr gering (zumeist sind es unwichtige Daten; Wichtige Daten sind in irgendeinem Backup)
Detektionsgefahr: 100%
Häufigkeit der Infektion: weniger als 3 pro Gerät(Wer sich mehr als 3 mal so ein Ding einfängt.. selbst das zweite Mal eigtl.. hat es wirklich nicht anders verdient)
Strafen: Können drakonisch ausfallen; Insbesondere, wenn durch die Ransomware Menschen zu Schaden gekommen sind. (Krankenhaus z.Bsp.)
Minerzombies:
Infektionsgefahr: gering
Erfolgsrate bei Infektion: 95%
Detektionsgefahr: gering, insbesondere, wenn man sich mit Fernsehern, Kühlschränken, Sensoren, Haussteuerungen, IP Kameras, … zufrieden gibt
Häufigkeit der Infektion: mehrmals pro Gerät; Insbesondere, da der Schaden gering ist, wird weniger Aufwand betrieben, um weitere Infektionen zu vermeiden; Teilweise auch unmöglich, da Firmware vom Hersteller nichtmehr unterstützt wird
Strafen: Aufgrund des geringen, individuellen Schadens wird wohl kaum ein Interesse an der Strafverfolgung bestehen.. man kann persönlich einen Prozess/eine Anzeige nur beginnen, wenn man direkt oder mittelbar betroffen ist.. Auf was möchte man eine Anzeige erstellen? Stromdiebstahl in Höhe von 50€ im Jahr? Das wird niemals in unserer überforderten Justiz Beachtung finden.
Bei der Aufstellung fehlt nur die Gewinnerwartung. Die ist bei Ransomware deutlich höher:
https://mobile.twitter.com/actual_ransom/
Ansonsten: Wo kann ich mir ein Skript für eigene Zombie-Miner herunterladen?
乱馬
Auf DNM werden fertige Bausätze verkauft, aber man kann z.B. den Sourcecode von xmr-stak-cpu nutzen und sich seinen Bausatz selbst kompilieren. Wenn man sich geschickt anstellt, dürfte dieser kaum erkennbar sein.
Zwar sind IoT Geräte leichte Ziele, aber z.B. ein RasPi3 erreicht nur 10-20H/s beim Cryptonight Hashing, also wird man mit 100 gekaperten Geräten nur ca. $50 im Monat machen. Die meisten IoT Geräte dürften über einen noch schwächeren Prozessor verfügen, also muss man schon sehr viele kapern und die Annahme basiert darauf, dass man der einzige Miner auf dem Gerät ist, die Sicherheitslücke darf also nicht öffentlich sein oder man sichert die Geräte nach dem Kapern selbst gegen neue Angriffe ab.
Smominru hat über 6000 XMR gemacht..
https://www.proofpoint.com/us/threat-insight/post/smominru-monero-mining-botnet-making-millions-operators
Das sind etwa 180 BTC..
Davon gibt es noch ein weiteres Botnet in ca. der Größe.
Was hat Wannacry gemacht? 20 BTC? für den ganzen Stress?
Und so schnell sind die Botnets nicht weg.. Ransomware schon.
Bei Wannacry ist es ein Angreifer, bei Smominru kennt man nur die Summe aller Angreifer zusammen. Wahrscheinlich macht der Einzelne trotzdem mehr Geld als mit Ransomware. Bleibt nur noch die Frage, wieso nicht dabei mitmachen? Kann man sich dafür irgendwo ein Skript herunterladen?
乱馬
Smominru ist ein Botnetz.
– Ein Botnetz befindet sich in der Hand einer einzigen Identität. -> Es gibt nur einen Einzigen
– Botnetze sind illegal
Wenn du „mitmachen“ willst, musst du nur bspw. genügend Emailanhänge öffnen.. Irgendwann wird schon ein Trojaner dabei sein, der deinen PC infiziert.. dann bist du auch Teil von Smominru
Alternativ kann man sich natürlich so einen Müll wie SmartTVs, selbstnachbestellende Kühlschränke, elektronische Haustüren, SmartHome Applications, … zulegen, die allesamt derart lächerlich offen sind, dass Hobbyhacker diese infizieren könnten.
Abgesehen davon könnte es sein, dass du schon lange Teil eines Botnetzes bist. Auch wenn ich jetzt gemein klingen mag, aber: Die Art, wie du deine Fragen formulierst bzw. teilweise deine Aussagen (nämlich nicht selbstreflektierend, ohne eigene Initiative zur Selbstrecherche, ..) ist für mich ein Indikator, dass du dir bereits irgendetwas in der Richtung eingefangen hast.