Neue Methoden zur Abschaltung von Krypto-Mining-Botnetzen entdeckt
Gute Nachrichten: Cybersecurity-Fachleute haben zwei neuartige Techniken vorgestellt, mit denen sich Krypto-Mining-Kampagnen gezielt stören oder vollständig stoppen lassen. Angreifer-Infrastrukturen können unterbrochen werden – ohne legitime Mining-Aktivitäten zu beeinträchtigen.
In einem aktuellen Bericht beschreibt Akamai, wie sich Krypto-Miner, die über Botnetze betrieben werden, durch gezielte Manipulation der Mining-Infrastruktur abschalten lassen. Die beiden vorgestellten Ansätze beruhen auf Schwächen im Mining-Protokoll Stratum, das in vielen Kryptowährungs-Netzwerken – besonders beim Monero-Mining – eingesetzt wird.
„Wir konnten zwei Techniken entwickeln, mit denen sich die Effektivität eines Mining-Botnetzes so weit reduzieren lässt, dass die gesamte Operation zum Erliegen kommt“, erklärt Sicherheitsanalyst Maor Dahan von Akamai. „Angreifer müssen dann entweder ihre Infrastruktur radikal umbauen oder die Kampagne vollständig aufgeben.“
Methode 1: „Bad Shares“ bringen Mining-Proxys zu Fall
Die erste Methode basiert auf dem gezielten Einspeisen ungültiger Rechenergebnisse – sogenannter Bad Shares. Dabei wird ein Mining-Proxy des Angreifers, der als zentrale Vermittlungsstelle zwischen Botnetz und Mining-Pool fungiert, systematisch mit fehlerhaften Ergebnissen beschickt.
Ein eigens entwickeltes Tool namens XMRogue gibt sich dabei als legitimer Miner aus, verbindet sich mit dem Proxy und sendet gezielt ungültige Ergebnisse. Da viele Mining-Pools Proxys nach einer bestimmten Anzahl fehlerhafter Beiträge automatisch blockieren, wird so der gesamte Mining-Betrieb des Botnetzes unterbrochen. Die CPU-Auslastung der betroffenen Systeme fällt dann von 100 auf null Prozent.
Da der Proxy in vielen Fällen auch die Wallet-Adresse des Angreifers schützt, trifft ihn der Ausschluss besonders hart – denn ein Wechsel der Infrastruktur ist mit erheblichem Aufwand verbunden.
Methode 2: Wallets durch Massenverbindungen blockieren
Die zweite Technik greift dann, wenn kompromittierte Miner direkt mit einem öffentlichen Mining-Pool verbunden sind – also ohne zwischengeschalteten Proxy. Viele Pools verfügen über Sicherheitsmechanismen, die Wallet-Adressen temporär sperren, wenn zu viele Verbindungen gleichzeitig aufgebaut werden.
Konkret: Werden mehr als 1000 gleichzeitige Logins mit der Wallet eines Angreifers simuliert, sperrt der Pool diese Adresse für eine Stunde. Zwar ist dies keine dauerhafte Maßnahme, doch sie zwingt Angreifer zur Wiederherstellung und unterbricht das Mining temporär.
Wirksamkeit ohne Kollateralschäden
Der große Vorteil dieser Methoden: Legitime Miner sind kaum betroffen. Sie können IP-Adressen oder Wallets leicht lokal anpassen und so einen Ausschluss umgehen. Für kriminelle Akteure hingegen, die ihre Infrastruktur über viele Systeme und Orte verteilt betreiben, ist ein solcher Wechsel deutlich aufwändiger – insbesondere bei weniger gut organisierten Botnetzen.
Akamai betont, dass diese Techniken zwar auf Monero ausgerichtet sind, sich aber auch auf andere Kryptowährungen übertragen lassen. Der Schlüssel liegt darin, Pool-Richtlinien und Topologien gezielt auszunutzen – ohne den regulären Betrieb legitimer Mining-Pools zu stören.
Mit XMRogue und dem Missbrauch von Pool-Regeln steht Verteidigern ein wirksames Instrument gegen illegales Krypto-Mining zur Verfügung. Die Erkenntnis: Wer die Infrastruktur der Angreifer versteht, kann sie gezielt aushebeln – und dabei vermeiden, unbeteiligte Akteure zu treffen. Gerade in Zeiten steigender Energiepreise und zunehmender Cloud-Angriffe ist das ein wichtiger Schritt im Kampf gegen missbräuchliche Ressourcennutzung.