PyCryptoMiner: Nicht mal Linux ist vor Kryptomining-Botnetzen sicher

Es vergeht inzwischen fast keine Woche mehr, ohne dass ein neuer Kryp­to­mi­ner entdeckt wird, der fremde Rechenleistung zur Erzeugung von Bitcoin und Co. kapert. Die Sicherheitsforscher von F5 haben jetzt ein neues Botnetz entlarvt, das Linux-Rechner mit einem Trick über­nimmt. Das von F5 PyCryptoMiner genannte Botnetz übernimmt die Linux-Systeme mittels Brute-Force-Attacken über das SSH-Protokoll. Wird darüber ein Passwort erraten, führt das Botnetz mittels Python-Interpreter ein unscheinbar wirkendes und kryptisch benanntes Skript aus, welches ein weiteres Python-Skript von einem Command-and-Control-Server nachlädt. Die­ses richtet dann einen alle sechs Stunden ausgeführten Cron-Job ein, welcher dann punk­tu­ell einen Datenabgleich durchführt und sich um andere Aktivitäten wie etwa das Mining von Kryptowährungen kümmert.

Die Sicherheitsexperten fanden Hinweise darauf, dass über diesen Weg alleine seit Dezember möglicherweise 158 Einheiten der Kryptowährung Monero mit einem Marktwert von aktuell 60.000 Dollar erzeugt wurden. Die Angreifer nutzen die ferngesteuerten Rechner aber offenbar noch für andere Zwecke.

Pastebin als Zwischenablage

Besonders an PyCryptoMiner ist, dass das Bot­netz eine Ablage auf dem Veröffentlichungs-Host pastebin.com als Zwischenablage ver­wen­det und nicht direkt mit einer be­stimm­ten IP-Adresse eines Kontroll-Servers kommuniziert. Dadurch lässt sich das Netz auch nicht einfach durch ein Blockieren einer solchen Server-Adresse aushebeln. Man müsste dafür schon den Zugriff auf Pastebin sperren.

Die entsprechende Pastebin-Referenz sei seit August 2017 täglich etwa tausend Mal auf­ge­ru­fen worden. Der Inhaber der dort eingetragenen Domäne habe insgesamt 36.000 weitere Domains registriert, sowie 235 verschiedene E-Mail-Adressen. Diese würden unter anderem für Glücksspiel-Portale und Porno-Seiten verwendet.