Header Navigation - DE
Background image for Was ist Mimikatz?
Cybersecurity 101/Intelligente Bedrohung/Mimikatz

Was ist Mimikatz?

Mimikatz ist ein leistungsstarkes Tool zum Diebstahl von Anmeldedaten. Erfahren Sie, wie es funktioniert, und entdecken Sie Strategien, um sich gegen seinen Einsatz zu schützen.

Autor: SentinelOne

Mimikatz ist ein leistungsstarkes Tool zum Extrahieren von Anmeldedaten aus Windows-Systemen. In diesem Leitfaden werden die Funktionsweise von Mimikatz, seine Fähigkeiten und die Risiken für Unternehmen erläutert.

Erfahren Sie mehr über Strategien zum Erkennen und Verhindern von Mimikatz-Angriffen. Das Verständnis von Mimikatz ist für Unternehmen unerlässlich, um ihre Systeme vor dem Diebstahl von Anmeldedaten zu schützen. In diesem Beitrag betrachten wir, was Mimikatz ist, wie es verwendet wird, warum es immer noch funktioniert und wie Endpunkte erfolgreich davor geschützt werden können.

Was ist Mimikatz?

Mimikatz ist ein Tool, das häufig von Hackern und Sicherheitsexperten verwendet wird, um sensible Informationen wie Passwörter und Anmeldedaten aus dem Speicher eines Systems zu extrahieren. Es wird in der Regel verwendet, um sich unbefugten Zugriff auf Netzwerke, Systeme oder Anwendungen zu verschaffen oder andere böswillige Aktivitäten durchzuführen, wie z. B. die Ausweitung von Berechtigungen oder laterale Bewegungen innerhalb eines Netzwerks.

Mimikatz kann je nach den Zielen und Absichten des Angreifers auf verschiedene Weise eingesetzt werden. Beispielsweise kann es verwendet werden, um:

  1. Passwörter und Anmeldedaten aus dem Speicher des Systems extrahieren, wodurch der Angreifer Zugriff auf Netzwerke, Systeme oder Anwendungen erhält.
  2. Authentifizierungsmechanismen wie Multi-Faktor-Authentifizierung, indem gestohlene Anmeldedaten gestohlen und verwendet werden.
  3. Eskalierung von Berechtigungen auf einem System, wodurch der Angreifer Zugriff auf sensible Daten erhält oder andere böswillige Aktionen ausführen kann.
  4. Sich innerhalb eines Netzwerks seitlich bewegen, wodurch der Angreifer auf weitere Systeme oder Netzwerke zugreifen kann.

Insgesamt ist Mimikatz ein leistungsstarkes Tool, mit dem Angreifer unbefugten Zugriff auf Netzwerke, Systeme und Anwendungen erlangen und andere böswillige Aktivitäten ausführen können.

Das Mimikatz-Tool wurde erstmals 2007 von Benjamin Delpy entwickelt. Warum schreiben wir heute über Mimikatz? Ganz einfach, weil es immer noch funktioniert. Darüber hinaus hat sich Mimikatz im Laufe der Jahre zu einem Standardprodukt entwickelt, das in vielerlei Hinsicht erweitert und verbessert wurde.

Die offiziellen Builds werden weiterhin auf GitHub gepflegt und gehostet, wobei die aktuelle Version zum Zeitpunkt der Erstellung dieses Artikels 2.2.0 20190813 ist. Darüber hinaus ist es auch in mehreren anderen beliebten Post-Exploitation-Frameworks und -Tools enthalten, wie z. B. Metasploit, Cobalt Strike, Empire, PowerSploit und ähnliche.  

Bild von Mimikatz-Ressourcen

Diese Tools vereinfachen den Prozess der Beschaffung von Windows-Anmeldedaten (und der anschließenden lateralen Bewegung) über RAM, Hash-Dumps, Kerberos-Ausnutzung sowie Pass-the-Ticket und Pass-the-Hash-Techniken erheblich.

Bild von Mimikatz in Verwendung

Mimikatz besteht aus mehreren Modulen, die entweder auf Kernfunktionen oder verschiedene Angriffsvektoren zugeschnitten sind. Zu den gängigsten oder am häufigsten verwendeten Modulen gehören:

  • Krypto
    • Manipulation von CryptoAPI-Funktionen. Bietet Token-Identitätswechsel, Patching von Legacy-CryptoAPI
  • Kerberos
    • “Golden Ticket”-Erstellung über Microsoft Kerberos API
  • Lsadump
    • Behandelt die Manipulation der SAM (Security Account Managers)-Datenbank. Dies kann auf einem Live-System oder "offline" auf Sicherungskopien der Hive-Datei angewendet werden. Die Module ermöglichen den Zugriff auf Passwörter über LM Hash oder NTLM.
  • Process
    • listet laufende Prozesse auf (kann für Pivots nützlich sein)
  • Sekurlsa
    • Verarbeitet die Extraktion von Daten aus LSASS (Local Security Authority Subsystem Service). Dazu gehören Tickets, PIN-Codes, Schlüssel und Passwörter.
  • Standard
    • Hauptmodul des Tools. Verarbeitet grundlegende Befehle und Operationen
  • Token
    • Kontext-Erkennung und begrenzte Manipulation

Funktioniert MimiKatz noch unter Windows 10?

Ja, das tut es. Die Versuche von Microsoft, die Nützlichkeit des Tools einzuschränken, waren nur vorübergehend und erfolglos. Das Tool wurde kontinuierlich weiterentwickelt und aktualisiert, damit seine Funktionen alle OS-basierten Notlösungen überwinden können.

Anfangs konzentrierte sich mimikatz auf die Ausnutzung von WDigest. Vor 2013 lud Windows verschlüsselte Passwörter sowie den Entschlüsselungsschlüssel für diese Passwörter in den Speicher. Mimikatz vereinfachte den Prozess der Extraktion dieser Paare aus dem Speicher und legte so die Anmeldedaten offen.

Im Laufe der Zeit hat Microsoft Anpassungen am Betriebssystem vorgenommen und einige der Schwachstellen behoben, die Mimikatz seine Arbeit ermöglichen, aber das Tool bleibt diesen Änderungen auf der Spur und passt sich entsprechend an. In jüngerer Zeit hat Mimikatz Module repariert, die nachWindows 10 1809 beschädigt wurden, wie beispielsweise sekurlsa::logonpasswords.

Bild von Mimikatz in Powershell ISE

Mimikatz unterstützt sowohl 64-Bit-x64- als auch 32-Bit-x86-Architekturen mit separaten Builds. Einer der Gründe, warum Mimikatz so gefährlich ist, ist seine Fähigkeit, die Mimikatz-DLL reflexartig in den Speicher zu laden. In Kombination mit PowerShell (z. B. Invoke-Mimikatz) oder ähnlichen Methoden kann der Angriff durchgeführt werden, ohne dass etwas auf die Festplatte geschrieben wird.

Erfahren Sie, wie unsere Singularity™-Plattform Angriffe wie Mimikatz erkennt und verhindert.

Wie weit verbreitet ist Mimikatz heute?

Viele bekannte Bedrohungen bündeln Mimikatz direkt oder nutzen dessen Implementierungen, um Anmeldedaten abzugreifen oder sich einfach über die entdeckten Anmeldedaten zu verbreiten. NotPetya und BadRabbit sind zwei prominente Beispiele, aber in jüngerer Zeit sind Trickbot eine eigene Implementierung für den grundlegenden Diebstahl von Anmeldedaten und laterale Bewegungen.

Um einen weiteren Eindruck davon zu bekommen, wie verbreitet die Verwendung von Mimikatz in realen Angriffen ist, muss man nur einen Blick auf MITRE werfen. Diese Liste ist zwar nicht vollständig, vermittelt aber einen guten Eindruck davon, wie viele raffinierte Angreifer (auch bekannt als APT-Gruppen) dieses Tool einsetzen. Diese Liste ist ein echtes “Who’s Who” der furchterregenden Bedrohungsakteure, die an fortgeschrittenen gezielten Angriffen beteiligt sind: Oilrig, APT28, Lazarus, Cobalt Group, Turla, Carbanak, FIN6 & APT21, um nur einige zu nennen.

image of mimikatz techniquesBild von Angreifern, die Mimikatz verwenden

Alle diese Gruppen entwickeln ihre eigene Methode, um Mimikatz aufzurufen/einzuschleusen, um den Erfolg des Angriffs sicherzustellen und die Endpunktsicherheit-Kontrollen zu umgehen, die ihnen im Weg stehen könnten.

Die Cobalt Group ist ein besonders wichtiger Schwerpunkt, da sie ihren Namen von der Verwendung des Tools Cobalt Strike hat. Cobalt Strike ist ein kollaboratives Tool für Red Teams und Gegner-Simulationen. Wie oben erwähnt, ist Mimikatz als Kernfunktionalität enthalten. Noch besorgniserregender ist die Möglichkeit, mimikatz direkt im Speicher aus jedem kontextbezogenen Prozess aufzurufen, in den die Cobalt Strike Beacon-Nutzlast injiziert wird. Auch hier gilt wieder: Diese Art von ‘fileless‘-Angriff vermeidet jegliches Lesen/Schreiben auf der Festplatte, kann aber auch viele moderne "Next-Gen"-Produkte umgehen, die nicht in der Lage sind, sehr spezifische Betriebssystemereignisse/-aktivitäten ordnungsgemäß zu überwachen.  

Kann Mimikatz Endpoint-Sicherheitssoftware überwinden?

Wenn das Betriebssystem nicht mithalten kann, können dann Sicherheitslösungen von Drittanbietern Mimikatz-Angriffe abwehren? Das hängt davon ab. Das Mimikatz-Tool stellt eine Herausforderung für herkömmliche Endpunkt-Sicherheitskontrollen dar, auch bekannt als Legacy-AV und einige “Next-Gen”-Tools. Wie oben erwähnt, können sie den Angriff einfach nicht erkennen oder verhindern, wenn sie das Verhalten im Speicher nicht überwachen oder wenn sie bestimmte Verhaltensweisen und Ereignisse nicht überwachen.

Es sollte auch beachtet werden, dass Mimikatz Administrator- oder SYSTEM-Rechte auf den Zielhosts erfordert. Dies erfordert, dass Angreifer sich in einen Prozess mit entsprechenden privilegierten Rechten einschleusen oder einen Weg finden, ihre Rechte zu erweitern, um bestimmte AV-Softwarelösungen zu umgehen, insbesondere wenn diese Lösungen anfällig für Whitelisting "vertrauenswürdige" Betriebssystemprozesse anfällig sind.

Erfahren Sie, wie der Schutz von SentinelOne Endpoint Security Tools zum Stehlen von Anmeldedaten wie Mimikatz in Echtzeit blockiert.

Wie Sie sich erfolgreich gegen Mimikatz verteidigen

Wie diese Fallstudie aus der Praxis zeigt, bietet der statische und verhaltensbasierte KI-Ansatz von SentinelOne einen robusten Schutz vor der Verwendung von Mimikatz. Selbst wenn Mimikatz direkt in den Speicher injiziert wird, unabhängig von seiner Herkunft, ist SentinelOne in der Lage, beobachten, abfangen und verhindern. Noch wichtiger ist jedoch, dass wir dadurch auch den Schaden verhindern, den Mimikatz verursachen kann. Der Verlust wichtiger Anmeldedaten, Daten und letztlich Zeit und Geld wird vermieden, da Mimikatz den SentinelOne-Agenten auf dem Gerät nicht umgehen kann.

SentinelOne verhindert, dass Mimikatz Anmeldedaten von geschützten Geräten abgreift. Zusätzlich zu anderen integrierten Schutzfunktionen haben wir einen Mechanismus hinzugefügt, der das Auslesen von Passwörtern unabhängig von den Richtlinieneinstellungen verhindert.  


Tiefer gehende Bedrohungsdaten erhalten

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Fazit

Das Fazit lautet, dass Mimikatz ein nahezu allgegenwärtiger Bestandteil des modernen Werkzeugkastens von Angreifern ist. Es wird auf allen Komplexitätsstufen und gegen das gesamte Spektrum von Zieltypen und -kategorien eingesetzt. Obwohl es vor über 12 Jahren entwickelt wurde, funktioniert das Toolset weiterhin und wird ständig verbessert, und ebenso stellt mimikatz weiterhin eine Herausforderung für veraltete und ältere Technologien zum Schutz von Endgeräten dar.Endpunktschutztechnologien heraus.

SentinelOne bietet eine erstklassige Lösung, um alle Aspekte von Mimikatz-zentrierten Angriffen mit verhaltensbasierter KI und Active EDR. In der heutigen Bedrohungslandschaft gibt es keinen Ersatz für autonome Endpunkt-Erkennung und -Reaktion.

MITRE ATT&CK IOCs

Mimikatz {S0002}
Account Manipulation {T1098}
Credential Dumping {T1003}
Pass The Hash {T1075}
Pass The Ticket {T1097}
Private Keys {T1145}
Sicherheitsdienstleister {T1101}
Cobalt Strike {S0154}

Mimikatz FAQs

Mimikatz ist eines der am häufigsten verwendeten und heruntergeladenen Tools für Angreifer, das ursprünglich von Benjamin Delpy als Proof of Concept entwickelt wurde. Es ist eines der weltweit besten Tools zum Stehlen von Passwörtern und wird von Hackern zum Eindringen in Netzwerke verwendet.

Sie müssen Mimikatz als Administrator ausführen, um es korrekt zu verwenden. Es sind zwei Versionen verfügbar – 32 Bit und 64 Bit. Mit dem Modul "sekurlsa" in Mimikatz können Benutzer Passwörter aus dem Speicher auslesen. Das Modul "cryptomodule" ermöglicht den Zugriff auf die CryptoAPI in Windows und listet Zertifikate und private Schlüssel auf und exportiert sie. Mit dem Kerberos-Modul von Mimikatz kann auf die Kerberos-API zugegriffen werden, um Kerberos-Tickets zu extrahieren und zu bearbeiten.

Sie können Mimikatz über die Protokollierung von PowerShell-Skriptblöcken erkennen, indem Sie nach bestimmten Befehlen wie "mimikatz", "sekurlsa::pth" oder "kerberos::ptt" suchen. Suchen Sie nach LSASS-Speicherauszügen mit dbgcore.dll oder dbghelp.dll. Überwachen Sie ungewöhnliche Prozesszugriffe auf lsass.exe und überprüfen Sie verdächtige PowerShell-Aktivitäten. Wenn Sie SentinelOne einsetzen, kann es Mimikatz-Prozesse automatisch erkennen und blockieren. Sie sollten auch auf Versuche zum Auslesen von Anmeldedaten und ungewöhnliche Authentifizierungsmuster achten.

Es handelt sich nicht um einen Virus. Mimikatz ist jedoch ein Open-Source-Malware-Programm, das Passwörter und Anmeldedaten von Benutzern stiehlt. Man kann es auch als Hacktool bezeichnen.

Wenn Sie Mimikatz für Penetrationstests und Sicherheitsforschung verwenden, dann ist es legal. Wenn Sie es jedoch verwenden, um ohne Erlaubnis Passwörter zu stehlen, ist das illegal und somit strafbar. Viele Organisationen haben ausdrückliche Richtlinien bezüglich seiner Verwendung und verlangen eine ordnungsgemäße Autorisierung vor dem Einsatz.

Ändern Sie Ihre Administratorrechte und Caching-Richtlinien. Deaktivieren Sie Debugging-Rechte und erhöhen Sie die lokale Sicherheitsberechtigung. Konfigurieren Sie zusätzliche LSA-Konfigurationselemente, um die Angriffsfläche Ihres Unternehmens zu verringern. Um Sicherheitsprotokollierung und -überwachung zu aktivieren, können Sie SentinelOne verwenden. Dies hilft Ihnen, Versuche des Passwortdiebstahls zu erkennen und das Sammeln und Stehlen von Anmeldedaten zu verhindern.

Erfahren Sie mehr über Intelligente Bedrohung

Wie kann man Cryptojacking verhindern?Intelligente Bedrohung

Wie kann man Cryptojacking verhindern?

Cryptojacking ist das illegale Schürfen von Kryptowährungen. Das Hauptmotiv ist Profit, aber im Gegensatz zu anderen Bedrohungen bleibt es vollständig verborgen und läuft im Hintergrund, sodass der Benutzer nichts davon bemerkt. Cryptojacking nutzt auch die Geräte anderer Personen auf unbefugte Weise. Die Opfer wissen nicht, dass ihre Smartphones, Server oder Tablets zum Schürfen von Kryptowährungen verwendet werden. In diesem Leitfaden erfahren Sie alles, was Sie über diese Angriffe wissen müssen und wie Sie Cryptojacking-Bedrohungen verhindern können. Was ist Cryptojacking? Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust. Anschließend übernimmt sie die Kontrolle über die Ressourcen des Systems und beginnt mit dem Mining von Kryptowährungen. Kryptowährungen sind digitales Geld oder virtuelle Währungen in Form von Tokens. Eine der beliebtesten Kryptowährungen ist Bitcoin, eine weitere ist Ethereum. Derzeit gibt es über 3000 weitere Kryptowährungen. Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust. Anschließend übernimmt sie die Kontrolle über die Ressourcen des Systems und beginnt mit dem Mining von Kryptowährungen. Alle Kryptowährungen werden in einer dezentralen Datenbank gespeichert und verteilt, die als Blockchain bekannt ist. Blockchain-Netzwerke werden regelmäßig aktualisiert und arbeiten zusammen, um Transaktionen zu verarbeiten. Komplexe mathematische Gleichungen werden verwendet, um Transaktionssätze durchzuführen und sie zu Blöcken zusammenzufassen. Alle Blöcke, alle Änderungen und alle Änderungen in jedem dieser Blöcke müssen von den Personen autorisiert werden, die Informationen darin teilen und speichern. Personen, die Rechenressourcen gegen Währung eintauschen, werden als Miner bezeichnet. Es gibt Teams von Minern, die spezielle Computeranlagen betreiben, um die erforderlichen Transaktionen zu verarbeiten. Miner benötigen eine enorme Rechenleistung, um die erforderlichen Transaktionen zu verarbeiten. Das Bitcoin-Netzwerk verbraucht derzeit mehr als 7373 TWh Energie pro Jahr. Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust und die Rechenleistung und Ressourcen von Blockchain-Netzwerken ausnutzt. Wie funktioniert Cryptojacking? Cryptojacker schürfen nach Kryptowährungen, ohne viel in Rechenleistung zu investieren, da sie keine teure Hardware oder hohe Stromrechnungen bezahlen möchten. Cryptojacking bietet Hackern eine Möglichkeit, Kryptowährungen zu erhalten, ohne hohe Kosten zu verursachen. Sie schürfen diese Währungen auf PCs, die schwer zu verfolgen sind. Die Bedrohung durch Cryptojacking hängt vom Auf- und Abschwung der Kryptowährungen ab. In den letzten Jahren sind die Cryptojacking-Vorfälle jedoch etwas zurückgegangen, da die Strafverfolgungsbehörden gegen die Verbreitung von Kryptowährungen vorgehen. CoinHive war eine Website, die mit Krypto-Minern zusammenarbeitete und kürzlich geschlossen wurde. Ihr Quellcode wurde häufig missbraucht, und das Mining-Skript konnte von Hackern ohne Wissen der Website-Betreiber in verschiedene Websites eingeschleust werden. Nach der Schließung gab es weiterhin Cryptojacking-Vorfälle. Cryptojacking erlebte einen starken Rückgang. Der Hauptgrund für Cryptojacking-Angriffe ist das schnelle Geld. Geld zu verdienen, ohne hohe Kosten zu verursachen, ist einer der größten Anreize. Um zu verstehen, wie Cryptojacking funktioniert, muss man wissen, dass Kryptowährungen mit verteilten Datenbanken arbeiten. Diese Datenbanken werden als Blockchains bezeichnet und jede Blockchain wird regelmäßig mit Daten über aktuelle Transaktionen aktualisiert. Jede Transaktion erfordert eine Aktualisierung, und jeder überträgt seine Aktualisierungen, wobei die aktuellen Transaktionen zu Blöcken zusammengefasst werden, die durch komplexe mathematische Prozesse festgelegt werden. Kryptowährungen müssen neue Blöcke erstellen, und Einzelpersonen müssen die dafür erforderliche Rechenleistung bereitstellen. Kryptowährungen werden auch an Miner vergeben, also an Personen, die dafür bekannt sind, die erforderliche Rechenleistung bereitzustellen. Große Teams von Minern betreiben möglicherweise spezielle Computeranlagen und tragen zu Prozessen bei, die enorme Mengen an Strom erfordern. Cryptojacker umgehen diese Anforderungen und versuchen, andere auszunutzen, die die Rechenleistung bereitstellen. Anzeichen dafür, dass Ihr System mit Cryptojacking-Malware infiziert sein könnte Obwohl Cryptojacking nicht so bösartig oder schädlich ist wie Ransomware, kann es nicht als geringfügige Cyber-Bedrohung abgetan werden. Cryptojacking kann Unternehmen und Opfern sowohl direkte als auch indirekte Verluste verursachen. Die Opfer zahlen mehr als erwartet für die Bereitstellung ihrer Rechenleistung. Sie merken nicht, dass ihre Ressourcen von anderen genutzt werden. Cryptojacking-Angriffe können monatelang oder jahrelang unentdeckt bleiben, wodurch sich der Preis erhöhen kann. Um ihre wahre Herkunft oder versteckte Kosten zu ermitteln. Heutzutage gibt es auch mobile Mining-Malware, die sich über die Akkus infizierter Geräte ausbreiten und Telefone so stark beeinträchtigen kann, dass sie physisch deformiert werden. Wenn Sie böswillig nach Kryptowährungen schürfen, belastet dies Ihre Mobiltelefone, und die Akkus infizierter Geräte können sich so stark ausdehnen, dass die Telefone physisch deformiert werden. Das Problem der verschwendeten Bandbreite kann die Effizienz und Geschwindigkeit von Rechenaufgaben verringern. Cryptojacking-Malware kann Leistungsprobleme verursachen und unmittelbare Auswirkungen auf Kunden und Geschäftsabläufe haben. Auch Endbenutzer sind betroffen, und Ihre Mitarbeiter können möglicherweise in Zeiten, in denen sie sie benötigen, nicht auf wichtige Daten zugreifen. Cryptojacking-Angriffe können als Ablenkungsmanöver für groß angelegte Angriffe wie Ransomware oder mehrstufige Erpressungsversuche genutzt werden. Sie können Ihre Benutzer in die Irre führen und sie von den ernsteren Bedrohungen ablenken. Diese Angriffe können mit Virenangriffen kombiniert werden, um die Opfer mit Werbung zu bombardieren, oder mit Scareware-Taktiken, damit sie am Ende Lösegeld zahlen. Die meisten Cryptojacking-Angriffe sind finanziell motiviert, aber ihr eigentliches Ziel könnte darin bestehen, infizierte Systeme zu überlasten und physische Schäden zu vergrößern. So funktionieren Cryptojacking-Angriffe: Cryptojacking beginnt in erster Linie damit, dass versucht wird, das Opfer dazu zu bewegen, einen Crypto-Mining-Code auf sein Gerät zu laden. Der Hacker kann Social Engineering, Phishing oder ähnliche Methoden einsetzen, um das Opfer dazu zu bewegen, auf Links zu klicken und diese zu aktivieren. Wenn ein Benutzer mit der E-Mail interagiert und auf den bösartigen Code klickt, wird das Skript für das Crypto-Mining auf dem Gerät ausgeführt und läuft im Hintergrund. Die zweite Methode des Cryptojackings besteht darin, den Code in das Gerät einzuschleusen, wo er im Hintergrund von Websites oder als Werbung ausgeführt wird. Wenn ein Opfer diese Websites öffnet oder auf die angezeigten Werbeanzeigen klickt, wird das Cryptojacking-Skript automatisch ausgeführt. Die Ergebnisse des Skripts werden an einen Server gesendet, der direkt vom Hacker kontrolliert wird. Hybride Cryptojacking-Angriffe können beide Strategien kombinieren und die Wirksamkeit von browserbasierten Cryptojacking-Angriffen erhöhen. Einige Crypto-Mining-Skripte können sich ihren Weg bahnen und andere Server und Geräte in den Zielnetzwerken infizieren. Bewährte Methoden zur Verhinderung von Cryptojacking-Angriffen Eine der besten Möglichkeiten, Cryptojacking-Angriffe zu verhindern, besteht darin, Ihr IT-Team über potenzielle Fallstricke und deren Erkennung zu informieren. Es sollte die ersten Anzeichen und Phasen eines Cryptojacking-Angriffs kennen und in der Lage sein, alle Phasen des Lebenszyklus eines Cryptojacking-Angriffs zu identifizieren. Sie sollten auch sicherstellen, dass es darauf vorbereitet ist, sofort zu reagieren und selbst weitere Untersuchungen durchzuführen. Ihre Mitarbeiter sollten darin geschult werden, Anzeichen wie ungewöhnliches Verhalten oder Überhitzung von Computersystemen zu erkennen. Sie sollten wissen, dass sie nicht auf verdächtige Links und bösartige Anhänge in E-Mails klicken und nur Dateien aus vertrauenswürdigen und verifizierten Quellen herunterladen dürfen. Ihr Unternehmen sollte außerdem Anti-Crypto-Mining-Erweiterungen installieren, um Cryptojacking-Skripte automatisch zu blockieren, wenn Ihre Benutzer verschiedene Websites über den Webbrowser besuchen. Es gibt viele Browser-Erweiterungen, die Krypto-Miner im World Wide Web blockieren können. Sie können auch Werbeblocker verwenden, um die Ausführung von Cryptojacking-Skripten zu verhindern. Deaktivieren Sie JavaScript, wenn Sie im Internet surfen, um zu verhindern, dass Cryptojacking-Code eingeschleust wird. Durch die Deaktivierung von JavaScript werden automatisch einige Funktionen blockiert, die beim Surfen im Internet benötigt werden. Dies sollten Sie berücksichtigen. Wie kann man Cryptojacking-Malware erkennen und entfernen? Das offensichtlichste Anzeichen dafür, dass Ihr Gerät von einem Cryptojacking-Angriff infiziert wurde, ist die Abweichung vom normalen Verhalten. Ihre Systeme können unter Leistungsabfall und langsameren Verarbeitungszeiten leiden und unerwartet abstürzen. Ein weiteres Anzeichen ist, dass der Akku viel schneller als normalerweise verbraucht wird. Ressourcenintensive Prozesse können zu einer Überhitzung der Systeme führen und Ihre Computer beschädigen. Sie können die Lebensdauer Ihrer Geräte verkürzen, und Cryptojacking-Skripte sind dafür bekannt, dass sie Websites überlasten. Die CPU-Auslastung steigt auch dann, wenn es wenig bis gar keine Medieninhalte gibt, also auf den Websites, die Sie besuchen. Das ist ein klares Anzeichen dafür, dass im Hintergrund ein Cryptojacking-Skript ausgeführt wird. Sie können einen Test durchführen, um die CPU-Auslastung auf dem Gerät zu überprüfen, indem Sie den Task-Manager oder das Tool zur Aktivitätsüberwachung verwenden. Der Nachteil dieser Erkennung ist jedoch, dass Ihr Computer, wenn er bereits mit maximaler Kapazität läuft, langsam werden könnte. Wenn das Skript also im Hintergrund läuft, ist es in einem solchen Fall schwierig, Fehler zu beheben und mehr darüber herauszufinden. Beispiele für Cryptojacking-Angriffe aus der Praxis Die USAID wurde kürzlich Opfer eines Passwort-Spray-Angriffs, der sie rund 500.000 US-Dollar an Microsoft-Servicegebühren gekostet hat. Cryptojacking über CVE-2023-22527 hatte ein vollwertiges Crypto-Mining-Ökosystem zerlegt. Die kritische Schwachstelle hatte Auswirkungen auf die betroffenen Umgebungen, und die Angreifer hatten Methoden wie den Einsatz von Shell-Skripten und XMRig-Minern verwendet. Sie zielten auf SSH-Endpunkte ab, beendeten konkurrierende Krypto-Mining-Prozesse und sorgten über Cron-Jobs für Persistenz. Ein weiteres Beispiel für einen Cryptojacking-Angriff in der Praxis ist der Fall von TripleStrength und wie dieser die Cloud traf. Der Angreifer hatte auf gekaperten Cloud-Ressourcen Mining-Aktivitäten durchgeführt und Ransomware-Aktivitäten durchgeführt. Er führte eine Dreifachkampagne aus, die Ransomware, Erpressung und Cryptocurrency-Mining umfasste. Fazit Cryptojacking ist eine kontinuierliche und sich weiterentwickelnde Bedrohung, die Ihre Ressourcen unbemerkt ausbeuten und die Systemleistung beeinträchtigen kann. Wir haben aufgezeigt, dass proaktive Maßnahmen wie Mitarbeiterschulungen, wachsame Überwachung und robuste Sicherheitslösungen erforderlich sind, um diese verdeckten Angriffe zu bekämpfen. Mit einem Verständnis der Angriffsvektoren und der Implementierung praktischer Lösungen können Unternehmen Risiken minimieren und die Betriebsintegrität aufrechterhalten. Lassen Sie Cyberkriminelle Ihre Systeme nicht ausnutzen – handeln Sie noch heute und schützen Sie Ihr Netzwerk mit fachkundiger Beratung. Kontaktieren Sie SentinelOne noch heute, um Ihre Cybersicherheitsmaßnahmen zu verstärken."

Mehr lesen
Was sind Darknets und Dark Markets?Intelligente Bedrohung

Was sind Darknets und Dark Markets?

Darknets und Dark Markets erleichtern illegale Aktivitäten im Internet. Erfahren Sie, wie sie funktionieren und welche Auswirkungen sie auf die Cybersicherheit haben.

Mehr lesen
Wie lassen sich Social-Engineering-Angriffe verhindern?Intelligente Bedrohung

Wie lassen sich Social-Engineering-Angriffe verhindern?

Fallen Sie nicht auf die neuesten Scareware-, Spamware- und Betrugsmaschen herein. Informieren Sie sich darüber, wie Sie Social-Engineering-Angriffe verhindern können, wie diese funktionieren, und ergreifen Sie Maßnahmen, um Bedrohungen zu bekämpfen und zu isolieren.

Mehr lesen
Wie kann man Datenexfiltration verhindern?Intelligente Bedrohung

Wie kann man Datenexfiltration verhindern?

Datenexfiltration ist eine der schlimmsten Möglichkeiten, wie Sie dem Geschäft und dem Ruf Ihres Unternehmens schaden können. Verstehen Sie, wie Sie Datenexfiltration verhindern können, wie sie zustande kommt und wie Sie damit umgehen können.

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern