{"id":17369,"date":"2018-07-30T14:30:35","date_gmt":"2018-07-30T12:30:35","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17369"},"modified":"2018-09-18T14:46:24","modified_gmt":"2018-09-18T12:46:24","slug":"powerghost-fileless-miner","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/powerghost-fileless-miner\/17369\/","title":{"rendered":"Miner PowerGhost treibt sein Unwesen"},"content":{"rendered":"<p>Unsere Experten haben k\u00fcrzlich einen <a href=\"https:\/\/www.kaspersky.com\/blog\/cryptominers-in-business\/22964\/?slow=1\/\" target=\"_blank\" rel=\"noopener nofollow\">Miner<\/a> entdeckt, der es haupts\u00e4chlich auf Unternehmensnetzwerke abgesehen hat. Das dateilose Naturell der Malware PowerGhost erlaubt es ihr, sich unbemerkt in die Workstations oder Server der Opfer einzuschleusen. Ein Gro\u00dfteil der Angriffe, die wir bisher registriert haben, fanden in Indien, der T\u00fcrkei, Brasilien und Kolumbien statt.<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/07\/30100605\/powerghost-fileless-miner-featured.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-large wp-image-23311\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/07\/30100605\/powerghost-fileless-miner-featured-1024x672.jpg\" alt=\"\" width=\"1024\" height=\"672\"><\/a><\/p>\n<p>Nachdem sich die Malware in die Infrastruktur eines Unternehmens eingeschleust hat, versucht PowerGhost, sich \u00fcber das legitime Remote-Verwaltungstool Windows Management Instrumentation (WMI) in die Netzwerk-Benutzerkonten einzuloggen. Die notwendigen Usernamen und Passw\u00f6rter entwendet die Malware mithilfe eines Datenextraktionstools namens Mimikatz. Der Miner kann allerdings auch \u00fcber den Windows-<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/exploit\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">Exploit<\/a> EternalBlue, der seinerzeit auch von den Entwicklern von <a href=\"https:\/\/www.kaspersky.de\/blog\/wannacry-ransomware\/10170\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a> und <a href=\"https:\/\/www.kaspersky.de\/blog\/expetr-for-b2b\/13798\/\" target=\"_blank\" rel=\"noopener\">ExPetr<\/a> verwendet wurde, verteilt werden. In der Theorie wurde diese Sicherheitsl\u00fccke bereits f\u00fcr ein Jahr gepatcht, in der Praxis funktioniert sie allerdings weiterhin.<\/p>\n<p>Auf den Ger\u00e4ten der Opfer versucht die Malware, ihre Rechte \u00fcber verschiedene Sicherheitsl\u00fccken des Betriebssystems zu erweitern (weitere Informationen dazu finden Sie in unserem <a href=\"https:\/\/securelist.com\/a-mining-multitool\/86950\/\" target=\"_blank\" rel=\"noopener\">Blog-Artikel<\/a> auf Securelist). Danach fasst der Miner festen Fu\u00df im System und beginnt, Kryptow\u00e4hrung in die Taschen seiner Entwickler zu sch\u00fcrfen.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Dateilose Malware #PowerGhost verbreitet sich in Unternehmensnetzwerken.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fii21&amp;text=Dateilose+Malware+%23PowerGhost+verbreitet+sich+in+Unternehmensnetzwerken.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<h2><strong>Warum ist PowerGhost gef\u00e4hrlich?<\/strong><\/h2>\n<p>Wie jeder andere Miner macht auch PowerGhost sich Ihre Rechenressourcen zunutze, um Kryptow\u00e4hrung zu sch\u00fcrfen. Dies reduziert sowohl Ihre Serverleistung als auch die Performance anderer Ger\u00e4te und f\u00fchrt zu einem erheblich schnelleren Verschlei\u00df, was wiederum Ersatzkosten birgt.<\/p>\n<p>Im Vergleich zu den meisten anderen Programmen seiner Art ist PowerGhost jedoch schwieriger zu erkennen, da die Malware keine sch\u00e4dlichen Dateien auf das Ger\u00e4t downloaded. Das bedeutet, dass es l\u00e4nger unbemerkt auf Ihrem Server und\/oder Ihrer Workstation arbeiten und mehr Schaden anrichten kann.<\/p>\n<p>Dar\u00fcber hinaus haben unsere Experten in einer Version der Malware ein Tool f\u00fcr DDoS-Angriffe entdeckt. Die Verwendung der Unternehmensserver, um ein weiteres Opfer anzugreifen, kann die Unternehmensaktivit\u00e4ten verlangsamen oder sogar vollst\u00e4ndig lahmlegen. Ein weiteres interessantes Merkmal der Malware ist ihre F\u00e4higkeit zu \u00fcberpr\u00fcfen, ob sie unter einem echten Betriebssystem oder in einer Sandbox ausgef\u00fchrt wird, wodurch sie Standardsicherheitsl\u00f6sungen umgehen kann.<\/p>\n<h3>PowerGhost-Busters<\/h3>\n<p>Um Infektionen zu vermeiden und Ger\u00e4te vor Angriffen von PowerGhost und \u00e4hnlicher Malware zu sch\u00fctzen, sollten Sie die Sicherheit von Unternehmensnetzwerken rigoros \u00fcberwachen.<\/p>\n<ul>\n<li>Installieren sie verf\u00fcgbare Betriebssytem-Updates umgehend. Alle Schwachstellen, die von dem Miner ausgenutzt werden, wurden bereits gepatcht. Virusautoren neigen dazu, Ihre Kreationen auf Exploits langzeit-gepatchter Schwachstellen aufzubauen.<\/li>\n<li>Erh\u00f6hen Sie die Sicherheits-Awareness Ihrer Mitarbeiter. Denken Sie daran, dass bei vielen Cybervorf\u00e4llen der Faktor Mensch eine besonders gro\u00dfe Rolle spielt.<\/li>\n<li>Verwenden Sie eine zuverl\u00e4ssige Sicherheitsl\u00f6sung mit Verhaltensanalysetechnologie \u2013 nur so k\u00f6nnen dateilose Bedrohungen abgefangen werden, bevor sie weiteren Schaden anrichten. Die Business-Produkte von Kaspersky Lab erkennen sowohl PowerGhost und seine Komponenten als auch viele andere Schadprogramme.<\/li>\n<\/ul>\n<div class=\"kasbanner-banner kasbanner-image\"><input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\"><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Dateilose Malware infiziert Workstations und Server in Unternehmensnetzwerken.<\/p>\n","protected":false},"author":2484,"featured_media":17372,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[274,2940,3047,3048,747,2789],"class_list":{"0":"post-17369","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-bedrohungen","10":"tag-cryptojacking","11":"tag-cryptomining","12":"tag-dateilose-malware","13":"tag-ddos","14":"tag-miner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/powerghost-fileless-miner\/17369\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/powerghost-fileless-miner\/13753\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/powerghost-fileless-miner\/11516\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/powerghost-fileless-miner\/15815\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/powerghost-fileless-miner\/14095\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/powerghost-fileless-miner\/13220\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/powerghost-fileless-miner\/16598\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/powerghost-fileless-miner\/16030\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/powerghost-fileless-miner\/20963\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/powerghost-fileless-miner\/5166\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/powerghost-fileless-miner\/23310\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/powerghost-fileless-miner\/10782\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/powerghost-fileless-miner\/10561\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/powerghost-fileless-miner\/9531\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/powerghost-fileless-miner\/20964\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/powerghost-fileless-miner\/23714\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/powerghost-fileless-miner\/17032\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/powerghost-fileless-miner\/20678\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/powerghost-fileless-miner\/20676\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bedrohungen\/","name":"Bedrohungen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/17369","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=17369"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/17369\/revisions"}],"predecessor-version":[{"id":17377,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/17369\/revisions\/17377"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/17372"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=17369"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=17369"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=17369"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}