Bessere Abwehrmaßnahmen entwickeln: RedTail-Beobachtungen aus einem Honeypot

Gastbeitrag von Jin Quan Low, ISC-Praktikant im SANS.edu-Bachelor-Studiengang „Angewandte Cybersicherheit“ (BACS)

Ransomware ist oft das erste, was einem in den Sinn kommt, wenn es um Cyberkriminalität mit finanziellen Motiven geht. Sie dringt in Systeme ein, sperrt Dateien, hinterlässt Lösegeldforderungen und verursacht sofort spürbare Störungen.

Cryptojacking dagegen agiert wie ein stiller Eindringling. Es dringt unbemerkt ein, nutzt im Hintergrund Rechenressourcen für das Schürfen von Kryptowährungen und bleibt dabei meist unbemerkt. Da es selten direkte Störungen verursacht, erhält Cryptojacking deutlich weniger Aufmerksamkeit als Ransomware.

In den vergangenen drei Monaten hat mein DShield-Honeypot wiederholt Versuche erfasst, die Cryptojacking-Malware RedTail einzusetzen. RedTail wurde erstmals Anfang 2024 beobachtet und zielt auf die Kryptowährung Monero ab. Die Angriffe erfolgen meist über Brute-Force-Angriffe auf SSH-Logins oder durch Ausnutzung von Schwachstellen. Anschließend sorgen Skripte dafür, dass die Malware persistent im System bleibt und Mining-Prozesse startet.

Die beobachteten Aktivitäten zeigen, dass RedTail über das bloße Cryptomining hinausgehen kann, was die Malware zu einer wichtigen Fallstudie für Sicherheitsverantwortliche macht.

Zuordnung von Angriffen zu MITRE ATT&CK-Taktiken, -Techniken und -Verfahren (TTPs)

Malware-IOCs sind sehr nützlich für die schnelle Erkennung, können jedoch leicht ungültig werden. Angreifer müssen nur einen Teil ihres Codes ändern, und diese Indikatoren verlieren jeglichen Wert. Die RedTail-Malware bildet da keine Ausnahme. Forscher hatten bereits verschiedene Hashes derselben Malware entdeckt.

TTPs hingegen ändern sich selten und können zur Erkennung ähnlicher Bedrohungsverhaltensweisen genutzt werden. Daher wird der beobachtete Angriff mit RedTail-Malware dem MITRE ATT&CK-Framework zugeordnet, um zu ermitteln, wie wir uns besser schützen können.

Das ATT&CK-Framework kann in PRE-ATT&CK und ATT&CK unterteilt werden (siehe Abbildung 1).

PRE-ATT&CK

Die frühen Phasen – Aufklärung und Aufrüstung  – erscheinen möglicherweise nicht immer in den Protokollen, aber spätere Aktivitäten auf dem Honeypot zeigen die Existenz dieser Phasen (siehe Abbildung 2).

• Aufklärung: Angreifer scannen IP-Bereiche, um nach exponierten Diensten zu suchen (T1595.001: Aktives Scannen – Scannen von IP-Blöcken).
• Aufrüstung: Sie entwickeln oder verpacken ihre Malware-Payloads (T1587.001: Fähigkeiten entwickeln – Malware) und bereiten sie für die Auslieferung vor (T1608.001: Fähigkeiten vorbereiten – Malware hochladen).

ATT&CK

Die ATT&CK-Phase umfasst die Stufen „Deliver“, „Exploit“, „Control“, „Execute“ und „Maintain“.

Die Stufe „Deliver“ (siehe Abbildung 3) wird den folgenden Stufen zugeordnet:

• Initial Access: In Honeypot versuchten Angreifer Brute-Force-SSH-Anmeldungen und waren schließlich mit gültigen Anmeldedaten erfolgreich (T1078.002: Valid Accounts – Local Account).
• Ausführung: Sobald sie sich Zugang verschafft hatten, führten die Angreifer die Skripte clean.sh und setup.sh aus, um die Umgebung vorzubereiten (T1059.004: Befehls- und Skriptinterpreter – Unix-Shell).
• Persistenz: Die Angreifer implantierten ihre eigenen SSH-Schlüssel, um sich den Zugang zu sichern (T1098.004: Manipulation von Konten – Autorisierte SSH-Schlüssel). So konnten sie nach Belieben zurückkehren und die Passwortkontrollen umgehen.

Die Phase „Exploit to Execute“ (siehe Abbildung 4) lässt sich in folgende Schritte unterteilen:

• Umgehung von Abwehrmaßnahmen: Die Angreifer löschten Dateien, um ihre Spuren zu verwischen (T1070.004: Indicator Removal – File Deletion).
• Erkennung: Die Angreifer fragten Systeminformationen ab, um die Kompatibilität zu überprüfen, bevor sie RedTail einsetzten (T1082: System Information Discovery).

Die Ausführungs- und Aufrechterhaltungsphase (siehe Abbildung 5) lässt sich den folgenden Phasen zuordnen:

• Befehl und Kontrolle: Ausgehender HTTPS-Datenverkehr (Port 443) von infizierten Systemen zu bösartigen Mining-Pool-Servern [6]. Dies entspricht ATT&CK T1071.001: Anwendungsschichtprotokoll – Webprotokolle.
• Auswirkungen: Die RedTail-Malware ist dafür bekannt, CPU-Zyklen zu kapern, um Kryptowährungen zu schürfen (T1496.001: Ressourcen-Hijacking – Compute Hijacking). Dies ist zwar subtil, verursacht aber finanzielle und leistungsbezogene Kosten für die Opfer.

Einzigartige Beobachtungen aus dem Honeypot

Obwohl RedTail bereits in mehreren Vorfällen gemeldet wurde, zeigten meine Honeypot-Protokolle mehrere auffällige Verhaltensweisen, die über allgemeine Cryptojacking-Aktivitäten hinausgehen:

• Brute-Force-Angriffe auf SSH-Zugriffe: Angreifer führten systematisch Brute-Force-Angriffe auf SSH-Anmeldungen durch, bevor sie RedTail einsetzten. Das verdeutlicht, dass schwache Anmeldedaten weiterhin ein aktiver Angriffsvektor sind.

• Skriptbasierte Einrichtung: Nach dem Zugriff luden die Angreifer das Skript setup.sh hoch und führten es aus, um den Miner zu konfigurieren. Zusätzlich wurde clean.sh genutzt, um konkurrierende Cryptomining-Prozesse zu entfernen und RedTail exklusiven Zugriff auf die Systemressourcen zu verschaffen.

• Persistenz durch SSH-Schlüssel: Die Angreifer implantierten eigene SSH-Schlüssel in ~/.ssh/authorized_keys, sodass sie ohne erneute Brute-Force-Angriffe zurückkehren konnten.

• Umgehung von Abwehrmaßnahmen: Protokolle zeigten Befehle zum Löschen von Dateien, was darauf hindeutet, dass Angreifer nach der Installation versuchten, ihre Spuren zu verwischen.

Diese Beobachtungen verdeutlichen, dass RedTail-Kampagnen über einfaches Cryptomining hinausgehen. Angreifer sorgen für Persistenz, beseitigen Konkurrenz und verschleiern ihre Aktivitäten – Aspekte, die bei der Entwicklung von Erkennungs- und Reaktionsstrategien berücksichtigt werden sollten.

Abwehr

Die Verteidigung gegen RedTail und ähnliche Cryptojacking-Malware erfordert einen zweistufigen Ansatz: Prävention sowie Erkennung und Reaktion.

Prävention (erste Verteidigungslinie)

• Zugriffssicherung: Nutzen Sie SSH-Schlüsselauthentifizierung und deaktivieren Sie Passwortanmeldungen. Begrenzen Sie SSH-Anmeldeversuche und sperren Sie Konten bei wiederholten Fehlversuchen (z. B. mit fail2ban). Deaktivieren Sie Root-Logins und unnötige Dienste.

• Patches und Updates: Halten Sie Systeme aktuell und installieren Sie Sicherheitsupdates.

• Netzwerkkontrollen: Beschränken Sie unnötigen eingehenden Zugriff, segmentieren Sie Honeypots und exponierte Systeme von Produktionsressourcen, und blockieren Sie bekannte Mining-Pool-Verbindungen.

Erkennung und Reaktion (Durchschlupf erfassen)

• Sichtbarkeit: Aktivieren Sie detaillierte SSH-, Prozess- und Netzwerkprotokollierung. Überwachen Sie CPU, Speicher und Festplatten-I/O auf anhaltende ungewöhnliche Spitzen.

• TTP-basierte Erkennung: Achten Sie auf Brute-Force-Versuche, nicht autorisierte Einträge in ~/.ssh/authorized_keys, die Erstellung ungewöhnlicher systemd-Dienste und verschlüsselten Datenverkehr zu unbekannten Mining-Pools.

• Reaktionsmaßnahmen: Isolieren Sie kompromittierte Hosts sofort, entfernen Sie die SSH-Schlüssel der Angreifer, beenden Sie Mining-Prozesse und stellen Sie Systeme aus sauberen Images wieder her.

• Kontinuierliche Überwachung: Verfolgen Sie erneute Infektionsversuche und nutzen Sie Honeypots wie DShield, um neue Angriffstechniken zu erfassen und in die Abwehrmaßnahmen einfließen zu lassen.

Fazit

Bedrohungen lassen sich nur erkennen, wenn aktiv nach ihnen gesucht wird. Erkennung allein ist wertlos ohne Reaktion. Der Schutz von Geräten und Netzwerken bleibt herausfordernd, ist aber durch mehrschichtige Abwehrmaßnahmen erreichbar. Mit zunehmender Vernetzung und immer raffinierteren Angreifern müssen auch Verteidiger stetig ihre Strategien verbessern.

Weitere lesenswerte Artikel im Überblick

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky