Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

[stevenfreiburg]

Ich möchte hier mitteilen, dass mein 720+ NAS Ende August 2023 Opfer einer Randsomware Attacke wurde.

Ich entdeckte zuerst verschlüsselte Dateien (jpg, mp3 usw.) auf meinem Smartphone, welche durch Syncthing vom NAS auf mein Smartphone kamen.
Die meisten Fotos, MP3 Dateien und Dokumente auf meinem NAS wurden verschlüsselt.
Es gibt tausende verschlüsselte Dateien ( wie diese: 20220425_163145.jpg.r4DkSWrE ) und in jedem Verzeichnis eine readme.txt mit der Handlungsanleitungen von cyberfear für die Erpressung.
Nach Entdecken habe meine Syno direkt ausschalten lassen,

Entweder hatte ich schnell genug gehandelt oder die Schadsoftware konnte keine Schreibrechte auf dem NAS erlangen, denn alle Originaldateien sind glücklicherweise noch vorhanden und nicht gelöscht. Und zum Glück hatte ich einige Tage lang meinen PC nicht genutzt, d.h. es hatte noch keine Synchronisierung stattgefunden.

Auf der 720+ befindeen sich nicht nur photo, Note und chat, sondern auch ein Webserver mit php, Maria DB, sFTP, WebDAV sowie ein virtuelles Windows; was man eben so hat.
Derzeit bin ich im Ausland, meine Syno 720+ steht in Deutschland.
Nächste Woche bin ich zurück in D und schaue mir das Desaster näher an.




Heute lese ich in der neuesten CT, dass die FRITZBOXen von AVM schwerwiegende Sicherheitslücken hatten (haben?).
Zeitraum und einige wenige Angaben zu Details in der CT lassen die Vermutung zu, dass der Angriff bei mir über meine Fritzbox erfolgte.
Meine Fritzbox erhielt am 5.9.2023 das (automatische) Update mit dem die Sicherheitslücke (hoffentlich!!) geschlossen wurde.

Da AVM darüber nicht offen kommuniziert, poste ich es hier und hoffe ich kann anderen helfen nicht Opfer dieser Attake zu werden indem sie ihre Fritzbox aktualisieren und ihr NAS gut gegen Angriffe absichern.

 

[maxblank]

Das ist natürlich bitter. Allerdings wenn deine FRITZ!Box infiziert wurde, ist damit immer noch kein genereller Zugriff auf dein NAS möglich. Auch das bitte analysieren und entsprechend bearbeiten. Thema hatten wir ab dem 04.09.2023 relativ zeitig hier:
https://www.synology-forum.de/threa...ige-fritzboxen-vorhanden.128655/#post-1101177

Ich hoffe, dass du ein entsprechendes abgesichertes Backup hast. Unbedingt alle betroffenen Geräte komplett neu installieren. Danke für deinen Hinweis.

 

[Ronny1978]

Derzeit bin ich im Ausland, meine Syno 720+ steht in Deutschland.

Wie greifst du denn auf deine DS aus dem Ausland zu? VPN? Wenn ja, über den VPN Dienst von AVM (Fritzbox) oder den der DS?

was man eben so hat

Naja: Der eine mehr, der andere weniger

 

[Ronny1978]

Allerdings wenn deine FRITZ!Box infiziert wurde, ist damit immer noch kein genereller Zugriff auf dein NAS möglich

Korrekt -> die Absicherung des NAS ist A UND O -> 2FA, Passwort sehr lang, admin Konto deaktivieren, Standard Ports ändern, usw.

Laut der Meldung würde ich hier noch nicht deuten, dass auch Geräte hinter der Fritzbox einfach so verschlüsselt werden können, denn eine SMB Einbindung sollte es ja zwischen der Fritzbox und dem NAS nicht geben. Ich denke, dass der Angreifer dann andere Methoden angewandt hat.

 

[Ulfhednir]

Es wäre jetzt erstmal wichtig zu wissen, ob der Einfall wirklich aufgrund der AVM-Firmware bestand oder ob da etwas anderes existiert.
Daher die Frage: Hast du Portfreigaben aktiv? Auf welche Programme verweisen diese, z.B. ioBroker? Wurden die Programme von dir gepflegt bzw. aktualisiert?

 

[ctrlaltdelete]

Webserver mit php, Maria DB, sFTP, WebDAV

Alles Vermutungen, aber mit der Fritzbox hat das sehr wahrscheinlich nichts zu tun, Webserver im Netz, etc. ist wohl ehe das Einfallstor

 

[Ronny1978]

Webserver im Netz, etc. ist wohl ehe das Einfallstor

Die Vermutung habe ich auch. Denn nur durch die Fritzbox kommt ja noch nicht auf das NAS und kann dort ohne sich anzumelden drauf.

 

[metalworker]

Ich vermute eher deine DS oder deine Fritzbox wurden nicht kompromitiert .
Sondern jemand hat sich über einen Nutzen Zugang beschafft.

Du hast ja z.b. WEbdav offen hast du geschrieben.

Hast dann noch einen User mit schwachen Kennwort , dann wird das darüber passiert sein

 

[Synchrotron]

Hier ist wirklich der Zugriffsweg relevant. Selbst wenn die FB geknackt worden wäre, hat die DS ihre Firewall (aktiv und scharf eingestellt ?) und ihre eigenen Schutz der Benutzerkonten.

Also muss etwas durchgekommen sein. Wenn ich da Webserver und Windows-VM lese, sind vermutlich einige Einfallstore offen. Trotzdem hätte es nicht möglich sein dürfen, das quasi die ganze DS übernommen wurde.

War es tatsächlich Ransomware, oder wurde die bordeigene Verschlüsselung genutzt ?

War das Heimnetzwerk auf gegenseitiges Vertrauen eingerichtet ?

Lief der Windows-PC ? Wäre es denkbar, dass er übernommen wurde, und die Verschlüsselung der Daten auf der DS von dort erfolgt ist ?

 

[stevenfreiburg]

Wie gesagt, ich bin noch im Ausland und mein NAS ist abgeschaltet.
Aber es handelt sich definitiv um einen Erpressungsversuch von Leuten, die Schadsoftware mit Datenverschlüsselung einsetzen.

Meine Vermutung ist derzeit, dass das Einfallstor NICHT die Syno sondern die Fritzbox war, vielleicht in Kombination mit einem nicht rechtzeitig upgedateten php script des Webservers?
Es läuft nur YOURLS , das MyBB Forum und syncthing auf meiner Syno.

Ich hab eine Domain auf der Syno laufen und die Standartports für Webserver (nur HTTPS), sFTP, Webdav, Remotedesktop und syncthing offen.
Plus natürlich die Ports für die Syno (5001 usw.).
Das die Schadsoftware zwar meine Daten verschlüsselt hat, sie aber nicht löschen konnte ist mmerhin ein gutes Zeichen.
Leider bin ich aber nur fortgeschrittener User und zu wenig Experte um das alles korrekt herausfinden zu können.

Einfach die Festplatte ausbauen (hab noch kein RAID am laufen) und mit CT Desinfect alles durchchecken scheitert vermutlich am Dateisystem BTRFS, oder?


Für z.B. Syncthing war es notwendig zusätzliche Rechte zu vergeben und um das Forum zum Laufen zu kriegen, musste ich zusätzliche PHP Module aktivieren.
Ich kann nicht wirklich ausschliessen, dass ich irgendwo einen Fehler gemacht habe und aus Versehen Rechte falsch gesetzt habe.

Für die Zukunft überlege ich, ob und wie es möglich ist komplett getrennte Bereiche mit der Syno zu realisieren.
Vermutlich brauche ich dazu aber zwei verschiedene Synology Geräte?
Ich hätte gerne einen Bereich, der nur privat über VPN erreichbar ist und einen zweiten Bereich für die Webdienste, der öffentlich übers Internet erreichbar ist.
Vielleicht so: Die "richtige" Syno bleibt privat und abgeschottet, nur über VPN ansprechbar; während alle Webdienste in eine virtuelles Synologysystem verbannt werden?

 

[Monacum]

Vermutung

Lass uns doch weiter diskutieren, wenn du mehr Daten gesammelt hast. Es fällt mir schwer, das ganz ernst zu nehmen, wenn wir überhaupt nicht wissen, ob es wirklich diese Schwachstelle war. Und ohne das genau zu wissen, kann man auch keine wirkungsvollen Gegenmaßnahmen einleiten.

nicht löschen konnte

Woher kannst du denn sicher sagen, dass diejenigen die Daten nicht löschen konnten? Andersherum gefragt, welchen Sinn würde es denn machen, deine Daten zu verschlüsseln, um sie danach zu löschen? Es geht diesen Leuten doch gerade darum, die Daten nur zu verschlüsseln, damit du Geld bezahlst, um an die Daten wieder ranzukommen. Und wer die Rechte hat, Daten zu verschlüsseln, der muss auch die Rechte haben, die Daten einfach zu löschen.

Plus natürlich die Ports für die Syno (5001 usw.)

Es ist übrigens auch nicht schlau, die Standardports zu öffnen, die solltest du dringend auf selbst gewählte im hohen fünfstelligen Bereich abändern.

 

[metalworker]

Na wie ich es mir schon dachte.
Du weißt gar nicht wie es passiert ist.

Und auch die Fritzbox ist volkommen egal. Du hast eh die DSM Ports freigegeben .
Da muss ich deinen Router gar nicht infiltrieren um auf deine Syno zuzugreifen.

Und das die Daten nicht gelöscht wurden ist normal.


Hattest du 2FA an und sichere Kennwörter ?
Admin ausgeschaltet?


Zu 90 Prozent sind die über die DSM Obefläche rein.

 

[Ronny1978]

Und auch die Fritzbox ist volkommen egal.

Ich glaube auch nicht, dass der Angriff von der Fritzbox kommt. Das passt auch nicht zu der veröffentlichen Schwachstelle. Und selbst, wenn die Angreifer deinen "Weg zum NAS" kennen, weil sie in die Fritzbox "eingedrungen sind", müssen die sich ja dennoch irgendwo mal anmelden. Und wenn dann hier nicht alles sicher ist, dann....

 

[Ulfhednir]

Glatt überlesen. Frage der Fragen: Wurde zufälligerweise überall das identische Passwort verwendet?

Meine Vermutung ist derzeit, dass das Einfallstor NICHT die Syno sondern die Fritzbox war, vielleicht in Kombination mit einem nicht rechtzeitig upgedateten php script des Webservers?
Es läuft nur YOURLS , das MyBB Forum und syncthing auf meiner Syno.

Es gab auch schon vor 20 Jahren Exploits für WBB und Co. Als junger Padawan, habe ich da auch Admin-Accounts gekapert und mir den Spaß erlaubt jeweilige Foren in den Wartungsmodus zu setzen. Insofern glaube ich, wie viele andere auch, dass es nicht die FritzBox gewesen ist.
Hier wäre eine Möglichkeit: https://www.exploit-db.com/exploits/50924
Mit Hilfe der früheren Skripts konnte ich den MD5-Hash des Admin-Users erlangen, um diese dann wiederum mit RainbowTables zu entschlüsseln.
Wenn du dann noch Experten hast, die überall ein identisches Passwort verwenden.. Hast du den Jackpot. Weil du dann auf die Mailadressen und Co. zuggreifen kannst.

Ursprung wäre dann also möglicherweise eine schlecht gewartete Forensoftware.

Für die Zukunft überlege ich, ob und wie es möglich ist komplett getrennte Bereiche mit der Syno zu realisieren.
Vermutlich brauche ich dazu aber zwei verschiedene Synology Geräte?
Ich hätte gerne einen Bereich, der nur privat über VPN erreichbar ist und einen zweiten Bereich für die Webdienste, der öffentlich übers Internet erreichbar ist.
Vielleicht so: Die "richtige" Syno bleibt privat und abgeschottet, nur über VPN ansprechbar; während alle Webdienste in eine virtuelles Synologysystem verbannt werden?

Da kannst du schon einmal anfangen und dein Forum zu einem "echten" Webhoster zu übertragen. Ich schreibe mir im Forum die Finger wund, weil jeder der Meinung ist eine Webseite auf seinem NAS zu hosten.

 

[stevenfreiburg]

Hallo

Danke für eure Kommentare und Ideen.
Und klar, es macht mehr Sinn, erstmal den Schaden aus der Nähe zu begutachten, keine Mutmaßungen mehr.


Kurz zur Info und Klarstellung:

Ich habe überall verschiedene Passwörter, die ausserdem komplex sind, d.h. mindestens 15-stellig und eine Mischung aus allem, was die Tastatur hergibt (GROSS und klein, Zahlen, Sonderzeichen, und natürlich nix dabei, was man in Wörterbüchern finden kann).
Es gibt Versionierungsbackups auf der Syno, auf pCloud sowie (immerhin quartalsweise) auf einer externen Platte, welche nie mit dem Internet in Kontakt hat.
Meine Daten sind nicht weg, aber mich wird dieser Mist einiges meiner wertvollen Zeit kosten.


Irgendwie war meine Info wohl nicht eindeutig genug formuliert.
Es ist so, dass so gut wie alle Fotos, Musikstücke und Dokumente auf der Syno verschlüsselt wurden.
ABER die Originaldateien sind noch vorhanden und wurden nicht gelöscht.
D.h. neben der verschlüsselten Datei
20220425_163145.jpg.r4DkSWrE
gibt es auf der Synology immer noch das Originalfile
20220425_163145.jpg
Die Erpresserschadsoftware hat ihren Job aus mir bislang nicht erfindlichen Gründen nicht zuende bringen können.
Meine Schlussfolgerung war deswegen, dass die Schadsoftware entweder keine Rechte zum Löschen hatte oder, oder ??



Was wäre denn der beste nächste Schritt?
Forum zum Webhoster übertragen, warum macht das Sinn?
Aktuell finde ich grade auch diese Option der Synology Webhoster (in kleinen Umfang!) spielen zu können wirklich gut.
Schick gerne mal einen Link mit Argumenten.


Hat jemand einen guten Vorschlag, wie ich am besten vorgehen kann mit meiner verseuchten Synology?
Denn das Gerät einfach wieder einzuschalten bedeutet auch die Schadsoftware erneut zu aktivieren, richtig?

Also Festplatte rausnehmen.
Aber wie geht's dann weiter???
Für mich nicht trivial , obwohl ich aktuell alles auf nur einer HDD in der Synology habe (kein raid).

Womit und wie lese ich die HDD und meine Daten aus, scanne auf Schadsoftware und lösche Schadsoftware?
Normal bin ich mit Windows unterwegs, könnte aber auch mit CT Desinfect booten.
Funktioniert CT Desinfect eigentlich mit einer Synology BTRFS Festplatte?
Wenn nicht, wie sonst?

 

[plang.pl]

Forum zum Webhoster übertragen, warum macht das Sinn?

Weil ein Webdienst auf einem File-Server nix zu suchen hat. Nicht mal auf einem Server in deinem LAN. Wenn überhaupt, macht man das in einer DMZ.
Also einen vom LAN abgeschotteten Bereich. Die Kosten dafür bewegen sich auf der Höhe eines Hosters oder sogar darüber. Dazu noch der Wartungsaufwand. Meist ist man mit einem Hoster besser beraten.

Womit und wie lese ich die HDD und meine Daten aus

https://kb.synology.com/de-de/DSM/tutorial/How_can_I_recover_data_from_my_DiskStation_using_a_PC

 

[maxblank]

Hallo

Danke für eure Kommentare und Ideen.
Und klar, es macht mehr Sinn, erstmal den Schaden aus der Nähe zu begutachten, keine Mutmaßungen mehr.


Kurz zur Info und Klarstellung:

Ich habe überall verschiedene Passwörter, die ausserdem komplex sind, d.h. mindestens 15-stellig und eine Mischung aus allem, was die Tastatur hergibt (GROSS und klein, Zahlen, Sonderzeichen, und natürlich nix dabei, was man in Wörterbüchern finden kann).
Es gibt Versionierungsbackups auf der Syno, auf pCloud sowie (immerhin quartalsweise) auf einer externen Platte, welche nie mit dem Internet in Kontakt hat.
Meine Daten sind nicht weg, aber mich wird dieser Mist einiges meiner wertvollen Zeit kosten.


Irgendwie war meine Info wohl nicht eindeutig genug formuliert.
Es ist so, dass so gut wie alle Fotos, Musikstücke und Dokumente auf der Syno verschlüsselt wurden.
ABER die Originaldateien sind noch vorhanden und wurden nicht gelöscht.
D.h. neben der verschlüsselten Datei
20220425_163145.jpg.r4DkSWrE
gibt es auf der Synology immer noch das Originalfile
20220425_163145.jpg
Die Erpresserschadsoftware hat ihren Job aus mir bislang nicht erfindlichen Gründen nicht zuende bringen können.
Meine Schlussfolgerung war deswegen, dass die Schadsoftware entweder keine Rechte zum Löschen hatte oder, oder ??



Was wäre denn der beste nächste Schritt?
Forum zum Webhoster übertragen, warum macht das Sinn?
Aktuell finde ich grade auch diese Option der Synology Webhoster (in kleinen Umfang!) spielen zu können wirklich gut.
Schick gerne mal einen Link mit Argumenten.


Hat jemand einen guten Vorschlag, wie ich am besten vorgehen kann mit meiner verseuchten Synology?
Denn das Gerät einfach wieder einzuschalten bedeutet auch die Schadsoftware erneut zu aktivieren, richtig?

Also Festplatte rausnehmen.
Aber wie geht's dann weiter???
Für mich nicht trivial , obwohl ich aktuell alles auf nur einer HDD in der Synology habe (kein raid).

Womit und wie lese ich die HDD und meine Daten aus, scanne auf Schadsoftware und lösche Schadsoftware?
Normal bin ich mit Windows unterwegs, könnte aber auch mit CT Desinfect booten.
Funktioniert CT Desinfect eigentlich mit einer Synology BTRFS Festplatte?
Wenn nicht, wie sonst?

-Logs prüfen
-Infizierungsweg bzw. die Ursache finden
-alle involvierten Geräte vom Internet trennen und auch nicht wieder verbinden
-diesen Weg schließen
-evtl. eingebaute Backdoors finden und schließen
-Dateien separieren und sichern (keine Programme)
-das am besten mit nicht involviertem PC oder Laptop
-Backup checken und keinesfalls PC oder NAS komplett damit wiederherstellen, evtl. Schadsoftware mitgesichert
-alle evtl. involvierten Geräte komplett neu aufsetzen ohne Netzwerkzugang

 

[Ulfhednir]

Was wäre denn der beste nächste Schritt?
Forum zum Webhoster übertragen, warum macht das Sinn?
Aktuell finde ich grade auch diese Option der Synology Webhoster (in kleinen Umfang!) spielen zu können wirklich gut.
Schick gerne mal einen Link mit Argumenten.

Die Frage stellt sich doch eigentlich gar nicht, wenn einem persönliche Daten lieb sind. Aber gerne nochmal: Weil ein Webserver, Datenbank und Co. zusätzliche Sicherheitslücken liefern. Der obige Link beschreibt eine Sicherheitslücke zur "Remote Code Execution". Das bedeutet, dass man beim Ausnutzen der Sicherheitslücke im Zweifelsfall dein NAS kompromittieren kann. Das Ausgangsszenario ist real.
Du weißt derzeit nicht woher der Angriff kommt. Ob dieser von einer Trojaner verseuchten WindowsVM, Webserver oder irgendeinen anderen Zeroday-Exploit. Wenn du derartige Vorfälle zukünftig vermeiden möchtest, musst du also die Ursache bekämpfen. Wenn du die nicht kennst, kannst du nur versuchen mögliche Angriffsvektoren zu dezimieren. Das Abkapseln des Webservers ist hier nur allzu logisch.

 

[stevenfreiburg]

.

https://kb.synology.com/de-de/DSM/tutorial/How_can_I_recover_data_from_my_DiskStation_using_a_PC

Danke, aber auch
BOA,
einfach ist anders, das bereitet mir ja schon nur beim Lesen Kopfschmerzen.....

 

[metalworker]

Erstmal musst du wissen worüber die Angreifer reingekommen sind,
Daher brauchs so nen Spaß mit Recovery der Daten gar nicht anfangen.

Vielleicht ist ja auch dein PC Infiziert mit dem du drauf zugreifst?



Wie schon gesagt, das du einen Trojaner auf deiner Syno hast , halte ich für recht unwahrscheinlich.