Endpunkt-Security

So schützt man sich vor Erpressung und Hijacking

07.12.2023
Anzeige  Kryptomining und Ransomware sind die profitabelsten Hacker-Attacken – entsprechend rasant breiten sie sich aus. Der höchste Schutz davor sind hardwarebasierte Lösungen.
Beim Kryptojacking betreiben Hacker Botnetze, um wie Parasiten eine fremde Infrastruktur für das Schürfen von neuen Kryptowährungs-Münzen zu missbrauchen.
Beim Kryptojacking betreiben Hacker Botnetze, um wie Parasiten eine fremde Infrastruktur für das Schürfen von neuen Kryptowährungs-Münzen zu missbrauchen.
Foto: Billion Photos - shutterstock.com

Trotz vieler Anstrengungen bleibt die IT-Sicherheit ein kritisches Dauerthema. Fast täglich gibt es Meldungen über Datendiebstähle, Einbrüche in die IT-Infrastruktur oder von Hackern verursachte Systemabstürze. Dass diese Probleme immer weiter um sich greifen hat mehrere Ursachen: Zum einen werden die Angreifer immer raffinierter und skrupelloser, zum anderen sind die meisten Maßnahmen reaktiv. Das heißt, erst wenn ein Schaden entstanden ist, werden vorbeugende Maßnahmen ergriffen. Hinzu kommt, dass es in jeder IT-Infrastruktur viele potenzielle Schwachstellen gibt, über die ein Angriff erfolgreich sein kann.

Hacker wollen Geld

Hacker wollen mit ihren Systemangriffen vor allem leichtes Geld verdienen, deshalb haben sich bei ihnen zwei Angriffsformen als besonders vorteilhaft herauskristallisiert: Ransomware und Kryptomining beziehungsweise Kryptojacking. Ransomware wird normalerweise über Phishing-Mails heruntergeladen. Danach werden alle Dateien verschlüsselt und es erfolgt eine Lösegeldforderung als Gegenleistung für die Entschlüsselung der Dateien. Der Bitkom-Verband kommt in einer Studie zu dem Ergebnis, dass Ransomware in diesem Jahr in Deutschland einen Schaden von 24,3 Milliarden Euro verursachen wird.

Kryptomining ist an sich nicht illegal, denn damit ist das Erzeugen des passenden "Hash" gemeint (auch "Proof of Work" genannt), mit dem neue Kryptocoins, beispielsweise Bitcoins, generiert werden. Illegal ist es aber dann, wenn dies dezentral über fremde Systeme in einem verdeckten Botnetz geschieht. Auf diese Art sind die Hacker in der Lage mit leistungsstarken Kryptomining-Farmen mitzuhalten, ohne die dafür erforderlichen hohen Anschaffungs- und Betriebskosten aufwenden zu müssen. Wichtig ist es hierbei für die Hacker, dass sie mit ihren Botnetz-Systemen innerhalb eines sehr kurzen Zeitraums so viele Hashes wie möglich erstellen können. Das heißt, je höher die Hash-Rate, also die Anzahl der berechneten Hashes pro Zeiteinheit, desto mehr Kryptowährung und Geld verdienen sie.

Sicherheit dort, wo sie am wirksamsten ist

Die höchstmögliche IT-Sicherheit gegen diese modernen Bedrohungen erreicht man durch eine hardwarebasierte Lösung. Bei diesen Verfahren wird die Malware nicht nur anhand der Softwaresignatur erkannt, sondern vor allem dadurch, wie sie sich auf einer Hardwareplattform verhält. Ein Beispiel: Damit das illegale Kryptomining erfolgreich zuschlagen kann, muss die Hash-Berechnung auf der CPU ablaufen - und genau hier setzt die besonders sichere Intel-Lösung an.

Die Intel® Threat-Detection-Technik (Intel® TDT) ist eine Technologie, die zusammen mit Software von Intel-Partnern, insbesondere dem Microsoft Defender for Endpoints von Microsoft, nahezu alle Malware-Angriffe zur Laufzeit erkennt. Dazu nutzt Intel TDT eine Kombination aus CPU-Telemetrie und maschinellem Lernen (ML), um zu messen, welchen Impact die Malware bei der Performance Monitoring Unit (PMU) hinterlässt. Da sich die PMU unterhalb der Anwendungen, dem Betriebssystem und den Virtualisierungsebenen befindet, erkennt sie jede Bedrohung unabhängig von allen Applikationen - und zwar in Echtzeit.

Eine besondere Herausforderung bei dieser Vorgehensweise und der Verwendung von ML für die Datenanalyse ist die immense Datenflut. Das kann die Performance eines Gerätes deutlich beeinflussen. Um dem zu begegnen lässt sich bei Intel TDT die ML-Inferenz auf die integrierte Grafikeinheit (GPU) des Endgeräts auslagern. So kann der ML-Algorithmus eine Fülle von CPU-Daten durchforsten und analysieren, ohne die User-Experience negativ zu beeinflussen.

Modernste Technologie gepaart mit viel Erfahrung

Intel TDT ist ein Teil der Intel® Hardware Shield Suite mit weiterentwickelten Funktionen auf den Intel vPro® und Intel® Core™ Prozessoren. Intel hat eine lange Tradition auf dem Gebiet der hardwarebasierten Bedrohungsanalysen. So war Intel TDT schon mit der sechsten Generation von Prozessoren verfügbar. Die Kryptojacking- und Ransomware-Erkennung wurde dann später mit der zehnten Generation eingeführt und ist Teil der neueren Intel Core Prozessoren und der Intel vPro Plattform.

Fazit

Wie auch immer Malware auf ein System gelangt ist, wie gut sie verschleiert ist oder wie gut sie sich hinter einem unbekannten Mining-URL-Endpunkt versteckt: Die Intel® Threat-Detection-Technik wird diese sehr wahrscheinlich entdecken, denn damit wird der endgültige Ausführungspunkt der Malware beobachtet: die CPU.

Alles über die Intel vPro Plattform und den höchstmöglichen Sicherheitsstand erfahren Sie hier.

Zur Startseite