Laut einem Bericht der IT-Sicherheitsfirma TrendMicro ist derzeit eine Mining Malware im Umlauf, die Rechner mit dem Betriebssystem Linux bedroht. Die als „Skidmap“ bekannte Malware installiert einen Miner für Kryptowährungen sowie einige andere Komponenten. Aus dem Bericht geht allerdings nicht hervor, um welche Kryptowährung es sich handelt. Von den drei geläufigsten Linux-Distributionen seien Debian und Red Hat betroffen, Ubuntu hingegen nicht. Doch auch für Windows und Mac sind zahlreiche ähnliche Schadprogramme im Umlauf, wie aus einem Bericht von McAfee Labs erst kürzlich hervorging.

Skidmap ist ausgefeilt

Die Malware von Cryptojackern wird zunehmend anpassungsfähiger, besonders was die Tarnung angeht. Die sogenannten Kernel Mode Rootkits erlauben es dem Angreifer, Administratorrechte zu erlangen. Damit lassen sich dann Prozesse und Dateien verstecken. Das einzige, was der User davon mitbekommt, ist, dass seine Maschine langsamer läuft.

Skidmap nutzt recht ausgefeilte Methoden, um unerkannt zu bleiben […]. Zudem verschafft sich [die Malware] Zugriff auf verschiedenen Wegen, wodurch sie das System auch nach einer Säuberung erneut befallen kann,

so die beiden Autoren des Berichts, Augusto Remillano II und Jakub Urbanec.

Ein Angriffsvektor ziele beispielsweise darauf ab, die Sicherheitseinstellungen des Systems zu verändern. So erlangt der Angreifer Zugriffsrechte, die anderweitig vom System abgefragt würden. Ein weiterer Vektor verschafft den Angreifern Zugang über ein Backdoor. Das geschehe über die Manipulation der Datei authorized_keys.

Daneben eröffnet Skidmap einen weiteren Weg, um ins System einzudringen. Die Malware ersetzt hierfür die Datei pam_unix.so (zuständig für die Unix Authentifizierung) mit einer schadhaften Variante (entlarvt als Backdoor.Linux.PAMDOR.A). […] [Diese] Datei akzeptiert ein bestimmtes Passwort [Secret Master Password] für egal welchen User des Systems. So kann sich der Angreifer als beliebiger Nutzer einloggen.

Wie man sich schützen kann

Die beiden Risikoanalysten verweisen auf die Best Practices, um sich davor zu schützen. Zunächst solle man sein System immer auf dem aktuellen Stand halten, sei es durch Systemupdates oder verifzierte Patches. Beim Download und Installieren von Dateien solle man darauf achten, keine unverifzierten Repositories auszuführen. Und schließlich solle man sich an das „Principle of least Privilege“ halten, demzufolge jeder User lediglich die Berechtigungen und Informationen haben soll, die er für seine Aufgabe benötigt.

Erst vor Kurzem hatten die französischen Behörden einen ganzen Malware-Mining-Ring aufgelöst, der auf zigtausend Geräten unerlaubt Monero Mining betrieben hat. Auch daran sieht man, dass Cryptojacking längst kein Randphänomen mehr ist.