Header Navigation - DE
Background image for Was sind Pass-the-Hash (PtH) und Pass-the-Ticket (PtT)?
Cybersecurity 101/Intelligente Bedrohung/Pass-the-Hash (PtH) und Pass-the-Ticket (PtT)

Was sind Pass-the-Hash (PtH) und Pass-the-Ticket (PtT)?

Pass-the-Hash- und Pass-the-Ticket-Angriffe nutzen Authentifizierungsprotokolle aus. Erfahren Sie, wie Sie sich gegen diese ausgeklügelten Techniken schützen können.

Autor: SentinelOne

Pass-the-Hash- (PTH) und Pass-the-Ticket- (PTT) Angriffe sind Techniken, mit denen Authentifizierungsprotokolle ausgenutzt werden. In diesem Leitfaden werden die Funktionsweise dieser Angriffe, ihre Auswirkungen auf die Sicherheit und Strategien zu ihrer Abwehr erläutert.

Erfahren Sie mehr über die Bedeutung der Sicherung von Anmeldedaten und der Überwachung verdächtiger Aktivitäten. Das Verständnis von PTH- und PTT-Angriffen ist für Unternehmen zum Schutz ihrer Systeme unerlässlich.

Unternehmen müssen strenge Zugriffskontrollen implementieren, fortschrittliche Tools zur Erkennung und Überwachung von Bedrohungen einsetzen und Sicherheitsprotokolle regelmäßig aktualisieren, um diese verdeckten Taktiken zu vereiteln. Auf diese Weise können sie sich besser gegen die anhaltenden und sich ständig weiterentwickelnden Bedrohungen durch PtH und PtT verteidigen und ihre sensiblen Daten und die Integrität ihres Netzwerks schützen.

Der Unterschied zwischen Pass-the-Hash (PtH) und Pass-the-Ticket (PtT)

PtH und PtT sind beides bösartige Techniken, die in der Cybersicherheit eingesetzt werden, sich jedoch in ihrem Schwerpunkt und ihrer Ausführung unterscheiden, während sie gemeinsame Merkmale aufweisen. Sowohl PtH als auch PtT werden eingesetzt in:

  • Authentifizierungsangriffen – Sowohl PtH als auch PtT sind authentifizierungsbasierte Angriffe, die auf die Mechanismen abzielen, mit denen die Identität von Benutzern oder Systemen in einem Netzwerk überprüft wird.
  • Laterale Bewegung – Beide Angriffe ermöglichen laterale Bewegungen innerhalb eines Netzwerks. Sobald der erste Zugriff gelungen ist, nutzen Angreifer gestohlene Anmeldedaten (Hashes oder Tickets), um sich lateral zu bewegen und auf andere Systeme oder Ressourcen zuzugreifen.
  • Umgehung der Erkennung – PtH- und PtT-Angriffe sind von Natur aus heimlich, da sie oft ohne die Notwendigkeit von Klartext-Passwörtern auskommen und daher schwerer zu erkennen sind.

PtH und PtT unterscheiden sich in folgenden wesentlichen Punkten:

  • Ziele – PtH konzentriert sich in erster Linie auf den Diebstahl von Hash-Passwörtern aus kompromittierten Systemen, während PtT sich auf den Diebstahl und Missbrauch von Authentifizierungstickets in Windows-Domänenumgebungen konzentriert.
  • Anmeldedaten – Bei PtH verwenden Angreifer gestohlene Passwort-Hashes zur Authentifizierung, während sie bei PtT Kerberos-Tickets missbrauchen, die für die Benutzer- oder Dienstauthentifizierung generiert wurden.
  • Umfang – PtH-Angriffe haben einen größeren Umfang, da sie über Windows-Domänen hinaus auf verschiedene Plattformen und Systeme abzielen können. PtT-Angriffe sind spezifischer auf Windows-Domänenumgebungen ausgerichtet.

Sowohl PtH als auch PtT sind gefährliche Taktiken für laterale Bewegungen und Privilegieneskalationen bei Cyberangriffen. Während sie das gemeinsame Ziel haben, die Authentifizierung zu kompromittieren, beinhaltet PtH den Diebstahl von Passwort-Hashes, während PtT sich auf den Missbrauch von Authentifizierungstickets innerhalb von Windows-Domänen konzentriert. Das Verständnis der Unterschiede und Gemeinsamkeiten zwischen diesen Techniken ist für eine effektive Cybersicherheitsabwehr und Incident Response unerlässlich.

Ein kurzer Überblick über Pass-the-Hash (PtH) und Pass-the-Ticket (PtT)

PtH- und PtT-Angriffe erregten erstmals in den 1990er Jahren Aufmerksamkeit, als Cyberkriminelle und Sicherheitsforscher begannen, die inhärenten Schwächen der Art und Weise zu erkennen, wie Windows-Betriebssysteme mit Authentifizierungsdaten umgehen. PtH entstand als Technik zum Extrahieren von Hash-Passwortdaten aus kompromittierten Systemen. Angreifer konnten diese Hash-Werte dann wiederverwenden, um sich auf anderen Systemen zu authentifizieren, wodurch sie die Notwendigkeit von Klartext-Passwörtern effektiv umgingen.

PtT hingegen zielt in erster Linie auf Windows-Umgebungen ab, die das Kerberos-Authentifizierungsprotokoll verwenden. Dabei werden Authentifizierungstickets gestohlen und missbraucht, die während der Benutzer- oder Dienstauthentifizierung generiert werden. Angreifer nutzen Schwachstellen im Kerberos-Ticketingsystem aus, um sich als legitime Benutzer oder Dienste auszugeben und sich unbefugten Zugriff auf Systeme und Ressourcen zu verschaffen.

In der heutigen Cybersicherheitslandschaft stellen PtH- und PtT-Angriffe nach wie vor eine große Bedrohung dar. Angreifer haben diese Techniken verfeinert und in Advanced Persistent Threat (APT)-Kampagnen und Ransomware-Angriffe, bei denen häufig Schwachstellen in der Netzwerksicherheit ausgenutzt oder Social-Engineering-Taktiken eingesetzt werden, um sich zunächst Zugang zu verschaffen. Sobald sie sich in einem Netzwerk befinden, nutzen sie PtH- und PtT-Angriffe für laterale Bewegungen, die Ausweitung von Berechtigungen und die Exfiltration von Daten.

Die Bedeutung von PtH- und PtT-Angriffen wird durch ihre Fähigkeit unterstrichen, traditionelle Sicherheitsmaßnahmen zu umgehen und der Erkennung zu entgehen, indem sie gehashte Anmeldedaten und Authentifizierungstickets nutzen. Die Abwehr dieser Angriffe erfordert einen mehrgleisigen Ansatz, einschließlich strenger Passwortrichtlinien, regelmäßiger Sicherheitsupdates, robuste Zugriffskontrollen und fortschrittliche Systeme zur Erkennung von Bedrohungen.

So funktionieren Pass-the-Hash (PtH) und Pass-the-Ticket (PtT)

PtH und PtT sind ausgeklügelte und böswillige Taktiken, die in der Cybersicherheit, insbesondere in Windows-Umgebungen, eingesetzt werden, um unbefugten Zugriff und die Ausweitung von Berechtigungen zu ermöglichen. Diese Techniken wurden ursprünglich als verdeckte Methoden entwickelt, um Windows-Authentifizierungssysteme zu kompromittieren, und haben sich seitdem zu einer dauerhaften Bedrohung in der Cybersicherheitslandschaft entwickelt.

PtH- und PtT-Angriffe sind Techniken, mit denen Angreifer unbefugten Zugriff auf Systeme und Ressourcen innerhalb eines Netzwerks erlangen. NTLM (NT LAN Manager) ist aufgrund seiner inhärenten Schwachstellen häufig das Ziel dieser Angriffe. Hier finden Sie eine detaillierte technische Erklärung, wie diese Techniken funktionieren:

Pass-the-Hash (PtH)

  • Anfänglicher Diebstahl von Anmeldedaten – PtH-Angriffe beginnen in der Regel damit, dass sich der Angreifer zunächst Zugang zu einem Windows-System verschafft, häufig durch Methoden wie Phishing, einer Infektion mit Malware oder der Ausnutzung von Software-Schwachstellen. Sobald der Angreifer in das System eingedrungen ist, besteht sein Ziel darin, lokal auf dem System gespeicherte Hash-Passwortdaten zu stehlen. Windows speichert gehashte Darstellungen von Passwörtern im Speicher, um die Authentifizierung zu erleichtern, ohne das Klartext-Passwort preiszugeben.
  • Hash-Erfassung – Angreifer verwenden verschiedene Tools und Techniken, um die Hash-Passwortdaten aus dem Speicher des Systems zu extrahieren. Ein häufig verwendetes Tool ist Mimikatz, mit dem Anmeldedaten aus Windows-Systemen abgerufen werden können.
  • Verwendung von Hash-Werten – Mit dem erfassten Passwort-Hash-Wert muss der Angreifer das tatsächliche Klartext-Passwort nicht kennen. Stattdessen verwendet er diesen Hash direkt für Authentifizierungsversuche.
  • Der Angreifer sendet den gestohlenen Hash an ein Zielsystem, auf das er zugreifen möchte, und gibt sich dabei als legitimer Benutzer aus. Das Zielsystem hasht dann das vom Angreifer bereitgestellte Passwort und vergleicht es zur Authentifizierung mit dem gespeicherten Hash.
  • Zugriff erhalten – Wenn die Hashes übereinstimmen, erhält der Angreifer unbefugten Zugriff auf das Zielsystem oder die Zielressource und umgeht damit effektiv die Notwendigkeit des Klartext-Passworts des Opfers.
  • Angreifer nutzen diesen Zugriff häufig, um sich innerhalb des Netzwerks seitlich zu bewegen, ihre Berechtigungen zu erweitern und auf sensible Daten zuzugreifen.

Pass-the-Ticket (PtT)

  • Kerberos-Authentifizierung – PtT-Angriffe zielen in erster Linie auf Windows-Umgebungen ab, die das Kerberos-Authentifizierungsprotokoll verwenden. Kerberos wird häufig in Active Directory (AD)-Umgebungen für Single Sign-On und sichere Authentifizierung verwendet.
  • Erstellung des ersten Tickets – Wenn sich ein Benutzer bei einem Windows-System anmeldet, generiert der Kerberos-Authentifizierungsprozess ein Ticket Granting Ticket (TGT) für den Benutzer, das mit einem langfristigen Geheimnis (in der Regel dem Passwort-Hash des Benutzers) verschlüsselt ist, das nur dem Benutzer und dem Key Distribution Center (KDC) bekannt ist.
  • Ticket-Extraktion – Bei einem PtT-Angriff versucht der Angreifer, dieses TGT aus dem Speicher eines kompromittierten Systems zu extrahieren, auf das er sich zunächst Zugriff verschafft hat.
  • Der Angreifer verwendet Tools wie Mimikatz, um TGTs aus dem Speicher zu extrahieren.
  • Ticketnutzung – Mit dem gestohlenen TGT kann sich der Angreifer als der legitime Benutzer ausgeben, der mit dem TGT verbunden ist. Der Angreifer legt das TGT dem KDC vor, wenn er Service-Tickets für bestimmte Ressourcen anfordert.
  • Service-Ticket-Anforderung – Das KDC, das dem TGT vertraut, stellt Diensttickets für die vom Angreifer angeforderten Ressourcen aus. Diese Diensttickets werden mit einem aus dem TGT abgeleiteten Sitzungsschlüssel verschlüsselt.
  • Zugriff auf Ressourcen – Mit gültigen Diensttickets kann der Angreifer auf Netzwerkressourcen und -systeme zugreifen, als wäre er der legitime Benutzer. Dadurch kann er sich innerhalb des Netzwerks seitlich bewegen und möglicherweise weitere Systeme kompromittieren.

Sowohl PtH- als auch PtT-Angriffe sind besonders besorgniserregend, da sie es Angreifern ermöglichen, zu agieren, ohne das Klartext-Passwort des Opfers zu kennen. Um diese Angriffe abzuwehren, ist ein mehrgleisiger Ansatz erforderlich, der strenge Passwortrichtlinien, regelmäßige Sicherheitsupdates, robuste Zugriffskontrollen und fortschrittliche Bedrohungserkennung . Darüber hinaus sollten Unternehmen auf Anzeichen von Passwortdiebstahl und ungewöhnlichen Authentifizierungsaktivitäten achten, um PtH- und PtT-Angriffe frühzeitig zu erkennen und darauf zu reagieren.

Um sich gegen die mit PtH- und PtT-Angriffen verbundenen Risiken zu schützen, ergreifen Unternehmen verschiedene Maßnahmen:

  • Starke Authentifizierung – Einsatz von Multi-Faktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) sorgt für eine zusätzliche Sicherheitsebene, die über Passwörter hinausgeht.
  • Zugriff mit geringsten Rechten – Die Einschränkung der hilft, den Schaden zu begrenzen, der durch kompromittierte Anmeldedaten verursacht werden kann.
  • Privileged Access Management (PAM) – PAM-Lösungen helfen bei der Verwaltung, Überwachung und Sicherung privilegierter Konten und Zugriffe.
  • Netzwerksegmentierung – Durch die Isolierung kritischer Systeme von weniger kritischen Systemen kann die laterale Bewegung innerhalb eines Netzwerks eingeschränkt werden.
  • Regelmäßige Rotation von Anmeldedaten – Die Implementierung von Richtlinien, die regelmäßige Passwortänderungen vorschreiben, trägt dazu bei, das Zeitfenster für PtH- und PtT-Angriffe zu verkleinern.
  • Schulungen zum Sicherheitsbewusstsein – Es ist unerlässlich, Mitarbeiter über die Risiken von PtH- und PtT-Angriffen und die Bedeutung einer guten Passwort-Hygiene aufzuklären.
  • Intrusion Detection Systeme – Der Einsatz fortschrittlicher Intrusion Detection Systeme kann dabei helfen, PtH- und PtT-Versuche zu erkennen und zu blockieren.

Fazit

Pass-the-Hash- (PtH) und Pass-the-Ticket- (PtT) Angriffe stellen in der heutigen digitalen Welt eine ständige Bedrohung dar. Diese Techniken, die häufig auf Authentifizierungsprotokolle wie NTLM und Kerberos abzielen, verdeutlichen die sich ständig weiterentwickelnde Natur von Cyberangriffen und die Notwendigkeit ständiger Wachsamkeit.

PtH und PtT nutzen Schwachstellen in Authentifizierungsmechanismen aus und ermöglichen es Angreifern, heimlich in Netzwerke einzudringen, sich lateral zu bewegen, Berechtigungen zu erweitern und sich unbefugten Zugriff auf sensible Systeme und Daten zu verschaffen. Die Folgen können sehr schwerwiegend sein und reichen von Datenverstößen und finanziellen Verlusten bis hin zu Reputationsschäden.

PtH- und PtT-Angriffe machen deutlich, dass die Cybersicherheitslandschaft ein sich ständig veränderndes Schlachtfeld ist. Um sich vor diesen Bedrohungen zu schützen, müssen Einzelpersonen und Organisationen wachsam bleiben, proaktive Sicherheitsmaßnahmen ergreifen und mit Cybersicherheitsexperten zusammenarbeiten. PtH- und PtT-Angriffen einen Schritt voraus zu sein, ist nicht nur wichtig, sondern der Schlüssel zum Schutz der digitalen Welt angesichts unerbittlicher Gegner.

Verbessern Sie Ihre Threat Intelligence

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Pass The Hash vs. Pass The Ticket – Häufig gestellte Fragen

Bei einem Pass-the-Hash-Angriff stiehlt ein Angreifer gehashte Benutzeranmeldedaten und verwendet diese zur Authentifizierung, ohne das eigentliche Passwort zu benötigen. Er extrahiert Passwort-Hashes mit Tools wie Mimikatz aus dem Systemspeicher und verwendet sie auf anderen Systemen wieder. Dieser Angriff nutzt Windows-Authentifizierungsprotokolle wie NTLM aus und funktioniert, weil der Hash bis zur Änderung des Passworts statisch bleibt.

Bei einem Pass-the-Ticket-Angriff werden Kerberos-Tickets, insbesondere Ticket Granting Tickets (TGT) oder Service-Tickets, gestohlen, um sich als legitime Benutzer auszugeben. Angreifer extrahieren diese Tickets aus dem Speicher und fügen sie in ihre eigenen Sitzungen ein, um auf Netzwerkressourcen zuzugreifen. Dadurch wird die normale Authentifizierung umgangen und eine laterale Bewegung ohne Passwörter ermöglicht.

Pass-the-Hash-Angriffe stehlen und verwenden NTLM-Passwort-Hashes wieder, während Pass-the-Ticket-Angriffe Kerberos-Tickets stehlen und wiederverwenden. PtH erfordert die Erfassung von Hash-Anmeldedaten aus kompromittierten Systemen, PtT hingegen verwendet stattdessen gültige Sitzungstickets.

PtT-Angriffe sind heimlicher, da sie legitime Kerberos-Tickets anstelle von Anmeldedaten-Hashes nutzen.

Beide Angriffe beginnen mit einer anfänglichen Kompromittierung des Systems durch Phishing oder Malware. Anschließend verwenden Angreifer Tools wie Mimikatz, um Hash-Werte oder Tickets aus dem Speicher zu extrahieren. Sie leiten diese gestohlenen Anmeldedaten zur Authentifizierung an andere Systeme weiter, wodurch eine laterale Bewegung über Netzwerke hinweg ermöglicht wird. Die Angriffe nutzen zwischengespeicherte Anmeldedaten in Windows-SSO-Umgebungen aus.

Organisationen, die die Windows-NTLM-Authentifizierung verwenden, sind am anfälligsten, insbesondere solche mit SSO-Implementierungen. Systeme ohne Multi-Faktor-Authentifizierung oder privilegierte Zugriffsverwaltung sind einem höheren Risiko ausgesetzt. Jede Windows-Umgebung, in der gehashte Anmeldedaten im Speicher abgelegt sind, kann zum Ziel werden. Remote-Mitarbeiter und Systeme mit Administratorrechten sind die Hauptziele.

Scannen Sie Windows-Ereignisprotokolle auf ungewöhnliche Kerberos-Authentifizierungsmuster und mehrere Benutzer von einzelnen IP-Adressen. Verwenden Sie Sicherheitstools, um abnormale Ticketnutzung zu erkennen, und implementieren Sie Netzwerksegmentierung.

Setzen Sie Endpunkt-Erkennungsplattformen wie SentinelOne ein und überwachen Sie Tools wie Mimikatz. Aktivieren Sie eine umfassende Protokollierung von Authentifizierungsereignissen und implementieren Sie Verhaltensanalysen.

Überwachen Sie die Windows-Sicherheitsereignisprotokolle auf Anmeldetyp 3 mit ungewöhnlichen Authentifizierungsmustern. Achten Sie auf erfolgreiche Authentifizierungen ohne entsprechende Passwortänderungen oder unerwartete Netzwerk-Anmeldungen. Verwenden Sie SIEM-Lösungen, um Authentifizierungsereignisse zu korrelieren und laterale Bewegungen zu erkennen. Sie sollten auch Honey-Token und Täuschungstechniken einsetzen, um Angreifer zu fangen, die gestohlene Anmeldedaten verwenden.

Erfahren Sie mehr über Intelligente Bedrohung

Wie kann man Cryptojacking verhindern?Intelligente Bedrohung

Wie kann man Cryptojacking verhindern?

Cryptojacking ist das illegale Schürfen von Kryptowährungen. Das Hauptmotiv ist Profit, aber im Gegensatz zu anderen Bedrohungen bleibt es vollständig verborgen und läuft im Hintergrund, sodass der Benutzer nichts davon bemerkt. Cryptojacking nutzt auch die Geräte anderer Personen auf unbefugte Weise. Die Opfer wissen nicht, dass ihre Smartphones, Server oder Tablets zum Schürfen von Kryptowährungen verwendet werden. In diesem Leitfaden erfahren Sie alles, was Sie über diese Angriffe wissen müssen und wie Sie Cryptojacking-Bedrohungen verhindern können. Was ist Cryptojacking? Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust. Anschließend übernimmt sie die Kontrolle über die Ressourcen des Systems und beginnt mit dem Mining von Kryptowährungen. Kryptowährungen sind digitales Geld oder virtuelle Währungen in Form von Tokens. Eine der beliebtesten Kryptowährungen ist Bitcoin, eine weitere ist Ethereum. Derzeit gibt es über 3000 weitere Kryptowährungen. Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust. Anschließend übernimmt sie die Kontrolle über die Ressourcen des Systems und beginnt mit dem Mining von Kryptowährungen. Alle Kryptowährungen werden in einer dezentralen Datenbank gespeichert und verteilt, die als Blockchain bekannt ist. Blockchain-Netzwerke werden regelmäßig aktualisiert und arbeiten zusammen, um Transaktionen zu verarbeiten. Komplexe mathematische Gleichungen werden verwendet, um Transaktionssätze durchzuführen und sie zu Blöcken zusammenzufassen. Alle Blöcke, alle Änderungen und alle Änderungen in jedem dieser Blöcke müssen von den Personen autorisiert werden, die Informationen darin teilen und speichern. Personen, die Rechenressourcen gegen Währung eintauschen, werden als Miner bezeichnet. Es gibt Teams von Minern, die spezielle Computeranlagen betreiben, um die erforderlichen Transaktionen zu verarbeiten. Miner benötigen eine enorme Rechenleistung, um die erforderlichen Transaktionen zu verarbeiten. Das Bitcoin-Netzwerk verbraucht derzeit mehr als 7373 TWh Energie pro Jahr. Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust und die Rechenleistung und Ressourcen von Blockchain-Netzwerken ausnutzt. Wie funktioniert Cryptojacking? Cryptojacker schürfen nach Kryptowährungen, ohne viel in Rechenleistung zu investieren, da sie keine teure Hardware oder hohe Stromrechnungen bezahlen möchten. Cryptojacking bietet Hackern eine Möglichkeit, Kryptowährungen zu erhalten, ohne hohe Kosten zu verursachen. Sie schürfen diese Währungen auf PCs, die schwer zu verfolgen sind. Die Bedrohung durch Cryptojacking hängt vom Auf- und Abschwung der Kryptowährungen ab. In den letzten Jahren sind die Cryptojacking-Vorfälle jedoch etwas zurückgegangen, da die Strafverfolgungsbehörden gegen die Verbreitung von Kryptowährungen vorgehen. CoinHive war eine Website, die mit Krypto-Minern zusammenarbeitete und kürzlich geschlossen wurde. Ihr Quellcode wurde häufig missbraucht, und das Mining-Skript konnte von Hackern ohne Wissen der Website-Betreiber in verschiedene Websites eingeschleust werden. Nach der Schließung gab es weiterhin Cryptojacking-Vorfälle. Cryptojacking erlebte einen starken Rückgang. Der Hauptgrund für Cryptojacking-Angriffe ist das schnelle Geld. Geld zu verdienen, ohne hohe Kosten zu verursachen, ist einer der größten Anreize. Um zu verstehen, wie Cryptojacking funktioniert, muss man wissen, dass Kryptowährungen mit verteilten Datenbanken arbeiten. Diese Datenbanken werden als Blockchains bezeichnet und jede Blockchain wird regelmäßig mit Daten über aktuelle Transaktionen aktualisiert. Jede Transaktion erfordert eine Aktualisierung, und jeder überträgt seine Aktualisierungen, wobei die aktuellen Transaktionen zu Blöcken zusammengefasst werden, die durch komplexe mathematische Prozesse festgelegt werden. Kryptowährungen müssen neue Blöcke erstellen, und Einzelpersonen müssen die dafür erforderliche Rechenleistung bereitstellen. Kryptowährungen werden auch an Miner vergeben, also an Personen, die dafür bekannt sind, die erforderliche Rechenleistung bereitzustellen. Große Teams von Minern betreiben möglicherweise spezielle Computeranlagen und tragen zu Prozessen bei, die enorme Mengen an Strom erfordern. Cryptojacker umgehen diese Anforderungen und versuchen, andere auszunutzen, die die Rechenleistung bereitstellen. Anzeichen dafür, dass Ihr System mit Cryptojacking-Malware infiziert sein könnte Obwohl Cryptojacking nicht so bösartig oder schädlich ist wie Ransomware, kann es nicht als geringfügige Cyber-Bedrohung abgetan werden. Cryptojacking kann Unternehmen und Opfern sowohl direkte als auch indirekte Verluste verursachen. Die Opfer zahlen mehr als erwartet für die Bereitstellung ihrer Rechenleistung. Sie merken nicht, dass ihre Ressourcen von anderen genutzt werden. Cryptojacking-Angriffe können monatelang oder jahrelang unentdeckt bleiben, wodurch sich der Preis erhöhen kann. Um ihre wahre Herkunft oder versteckte Kosten zu ermitteln. Heutzutage gibt es auch mobile Mining-Malware, die sich über die Akkus infizierter Geräte ausbreiten und Telefone so stark beeinträchtigen kann, dass sie physisch deformiert werden. Wenn Sie böswillig nach Kryptowährungen schürfen, belastet dies Ihre Mobiltelefone, und die Akkus infizierter Geräte können sich so stark ausdehnen, dass die Telefone physisch deformiert werden. Das Problem der verschwendeten Bandbreite kann die Effizienz und Geschwindigkeit von Rechenaufgaben verringern. Cryptojacking-Malware kann Leistungsprobleme verursachen und unmittelbare Auswirkungen auf Kunden und Geschäftsabläufe haben. Auch Endbenutzer sind betroffen, und Ihre Mitarbeiter können möglicherweise in Zeiten, in denen sie sie benötigen, nicht auf wichtige Daten zugreifen. Cryptojacking-Angriffe können als Ablenkungsmanöver für groß angelegte Angriffe wie Ransomware oder mehrstufige Erpressungsversuche genutzt werden. Sie können Ihre Benutzer in die Irre führen und sie von den ernsteren Bedrohungen ablenken. Diese Angriffe können mit Virenangriffen kombiniert werden, um die Opfer mit Werbung zu bombardieren, oder mit Scareware-Taktiken, damit sie am Ende Lösegeld zahlen. Die meisten Cryptojacking-Angriffe sind finanziell motiviert, aber ihr eigentliches Ziel könnte darin bestehen, infizierte Systeme zu überlasten und physische Schäden zu vergrößern. So funktionieren Cryptojacking-Angriffe: Cryptojacking beginnt in erster Linie damit, dass versucht wird, das Opfer dazu zu bewegen, einen Crypto-Mining-Code auf sein Gerät zu laden. Der Hacker kann Social Engineering, Phishing oder ähnliche Methoden einsetzen, um das Opfer dazu zu bewegen, auf Links zu klicken und diese zu aktivieren. Wenn ein Benutzer mit der E-Mail interagiert und auf den bösartigen Code klickt, wird das Skript für das Crypto-Mining auf dem Gerät ausgeführt und läuft im Hintergrund. Die zweite Methode des Cryptojackings besteht darin, den Code in das Gerät einzuschleusen, wo er im Hintergrund von Websites oder als Werbung ausgeführt wird. Wenn ein Opfer diese Websites öffnet oder auf die angezeigten Werbeanzeigen klickt, wird das Cryptojacking-Skript automatisch ausgeführt. Die Ergebnisse des Skripts werden an einen Server gesendet, der direkt vom Hacker kontrolliert wird. Hybride Cryptojacking-Angriffe können beide Strategien kombinieren und die Wirksamkeit von browserbasierten Cryptojacking-Angriffen erhöhen. Einige Crypto-Mining-Skripte können sich ihren Weg bahnen und andere Server und Geräte in den Zielnetzwerken infizieren. Bewährte Methoden zur Verhinderung von Cryptojacking-Angriffen Eine der besten Möglichkeiten, Cryptojacking-Angriffe zu verhindern, besteht darin, Ihr IT-Team über potenzielle Fallstricke und deren Erkennung zu informieren. Es sollte die ersten Anzeichen und Phasen eines Cryptojacking-Angriffs kennen und in der Lage sein, alle Phasen des Lebenszyklus eines Cryptojacking-Angriffs zu identifizieren. Sie sollten auch sicherstellen, dass es darauf vorbereitet ist, sofort zu reagieren und selbst weitere Untersuchungen durchzuführen. Ihre Mitarbeiter sollten darin geschult werden, Anzeichen wie ungewöhnliches Verhalten oder Überhitzung von Computersystemen zu erkennen. Sie sollten wissen, dass sie nicht auf verdächtige Links und bösartige Anhänge in E-Mails klicken und nur Dateien aus vertrauenswürdigen und verifizierten Quellen herunterladen dürfen. Ihr Unternehmen sollte außerdem Anti-Crypto-Mining-Erweiterungen installieren, um Cryptojacking-Skripte automatisch zu blockieren, wenn Ihre Benutzer verschiedene Websites über den Webbrowser besuchen. Es gibt viele Browser-Erweiterungen, die Krypto-Miner im World Wide Web blockieren können. Sie können auch Werbeblocker verwenden, um die Ausführung von Cryptojacking-Skripten zu verhindern. Deaktivieren Sie JavaScript, wenn Sie im Internet surfen, um zu verhindern, dass Cryptojacking-Code eingeschleust wird. Durch die Deaktivierung von JavaScript werden automatisch einige Funktionen blockiert, die beim Surfen im Internet benötigt werden. Dies sollten Sie berücksichtigen. Wie kann man Cryptojacking-Malware erkennen und entfernen? Das offensichtlichste Anzeichen dafür, dass Ihr Gerät von einem Cryptojacking-Angriff infiziert wurde, ist die Abweichung vom normalen Verhalten. Ihre Systeme können unter Leistungsabfall und langsameren Verarbeitungszeiten leiden und unerwartet abstürzen. Ein weiteres Anzeichen ist, dass der Akku viel schneller als normalerweise verbraucht wird. Ressourcenintensive Prozesse können zu einer Überhitzung der Systeme führen und Ihre Computer beschädigen. Sie können die Lebensdauer Ihrer Geräte verkürzen, und Cryptojacking-Skripte sind dafür bekannt, dass sie Websites überlasten. Die CPU-Auslastung steigt auch dann, wenn es wenig bis gar keine Medieninhalte gibt, also auf den Websites, die Sie besuchen. Das ist ein klares Anzeichen dafür, dass im Hintergrund ein Cryptojacking-Skript ausgeführt wird. Sie können einen Test durchführen, um die CPU-Auslastung auf dem Gerät zu überprüfen, indem Sie den Task-Manager oder das Tool zur Aktivitätsüberwachung verwenden. Der Nachteil dieser Erkennung ist jedoch, dass Ihr Computer, wenn er bereits mit maximaler Kapazität läuft, langsam werden könnte. Wenn das Skript also im Hintergrund läuft, ist es in einem solchen Fall schwierig, Fehler zu beheben und mehr darüber herauszufinden. Beispiele für Cryptojacking-Angriffe aus der Praxis Die USAID wurde kürzlich Opfer eines Passwort-Spray-Angriffs, der sie rund 500.000 US-Dollar an Microsoft-Servicegebühren gekostet hat. Cryptojacking über CVE-2023-22527 hatte ein vollwertiges Crypto-Mining-Ökosystem zerlegt. Die kritische Schwachstelle hatte Auswirkungen auf die betroffenen Umgebungen, und die Angreifer hatten Methoden wie den Einsatz von Shell-Skripten und XMRig-Minern verwendet. Sie zielten auf SSH-Endpunkte ab, beendeten konkurrierende Krypto-Mining-Prozesse und sorgten über Cron-Jobs für Persistenz. Ein weiteres Beispiel für einen Cryptojacking-Angriff in der Praxis ist der Fall von TripleStrength und wie dieser die Cloud traf. Der Angreifer hatte auf gekaperten Cloud-Ressourcen Mining-Aktivitäten durchgeführt und Ransomware-Aktivitäten durchgeführt. Er führte eine Dreifachkampagne aus, die Ransomware, Erpressung und Cryptocurrency-Mining umfasste. Fazit Cryptojacking ist eine kontinuierliche und sich weiterentwickelnde Bedrohung, die Ihre Ressourcen unbemerkt ausbeuten und die Systemleistung beeinträchtigen kann. Wir haben aufgezeigt, dass proaktive Maßnahmen wie Mitarbeiterschulungen, wachsame Überwachung und robuste Sicherheitslösungen erforderlich sind, um diese verdeckten Angriffe zu bekämpfen. Mit einem Verständnis der Angriffsvektoren und der Implementierung praktischer Lösungen können Unternehmen Risiken minimieren und die Betriebsintegrität aufrechterhalten. Lassen Sie Cyberkriminelle Ihre Systeme nicht ausnutzen – handeln Sie noch heute und schützen Sie Ihr Netzwerk mit fachkundiger Beratung. Kontaktieren Sie SentinelOne noch heute, um Ihre Cybersicherheitsmaßnahmen zu verstärken."

Mehr lesen
Was sind Darknets und Dark Markets?Intelligente Bedrohung

Was sind Darknets und Dark Markets?

Darknets und Dark Markets erleichtern illegale Aktivitäten im Internet. Erfahren Sie, wie sie funktionieren und welche Auswirkungen sie auf die Cybersicherheit haben.

Mehr lesen
Wie lassen sich Social-Engineering-Angriffe verhindern?Intelligente Bedrohung

Wie lassen sich Social-Engineering-Angriffe verhindern?

Fallen Sie nicht auf die neuesten Scareware-, Spamware- und Betrugsmaschen herein. Informieren Sie sich darüber, wie Sie Social-Engineering-Angriffe verhindern können, wie diese funktionieren, und ergreifen Sie Maßnahmen, um Bedrohungen zu bekämpfen und zu isolieren.

Mehr lesen
Wie kann man Datenexfiltration verhindern?Intelligente Bedrohung

Wie kann man Datenexfiltration verhindern?

Datenexfiltration ist eine der schlimmsten Möglichkeiten, wie Sie dem Geschäft und dem Ruf Ihres Unternehmens schaden können. Verstehen Sie, wie Sie Datenexfiltration verhindern können, wie sie zustande kommt und wie Sie damit umgehen können.

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern