Für mich ist der Fokus auf eine „Reinigung“ der DS auf Grundlage der bisher bekannten Fakten nicht nachvollziehbar:
Nach den Protokollen ist der Trojaner nicht auf der DS, sondern irgendwo sonst im System. Die Dateien werden gem. den Screenshots weiter oben bereits verschlüsselt auf die DS geschrieben. In den Logfiles steht, dass die Dateiendung „.encrypt“ bereits vorhanden ist, wenn die Dateien auf die DS geschrieben werden (#32, Bild 2). Wenn die erste Spalte den schreibenden Client zeigt, dann ist ein Windows-System das Nest der Würmer. Das ist nicht unwahrscheinlich, das ist ein viel wahrscheinlicherer Wirt als eine DS. Danke an
@synfor , dem das zuerst aufgefallen ist.
Die DS wäre dann nur der Speicherort für die anderswo verschlüsselten Dateien.
Wenn ich Surveillance lese, dann kämen auch die Kameras in Frage. Das sind oft Geräte, die mit jeder Menge Sicherheitslücken ausgeliefert werden, und nie ein Update bekommen. Aber „nach Hause telefonieren“ wollen sie alle, und machen (UPnP heißt diese Pest) sich dafür selbst die Türen auf dem Router auf. Türen, die in zwei Richtungen funktionieren.
Keine Ahnung, was in diesem Netzwerk sonst noch herum hängt. Nach den bisherigen Informationen ist der Trojaner aber NICHT auf der DS tätig.
Also nicht spekulieren, sondern den klaren Hinweise nachgehen.
Wenn es da einen Windows-PC gibt, ist das der Hauptverdächtige. Die meisten Angriffe lassen sich stoppen, indem der PC platt gemacht und neu aufgesetzt wird. Ist er im BIOS, hilft das allerdings nicht.
Die zweite Quelle könnten die Kameras sein, sowie möglicherweise eine IoT-Basisstation (bekanntlich steht das „S“ in „IoT für „Sicherheit“). Auch die können übernommen worden sein. Da mal im Internet nach neuer Firmware schauen, und versuchen, die Kameras zu updaten. Auch hier: Oft löst es das Problem, aber nicht immer.
Vielleicht mal hier einstellen, was alles sonst in diesem Netzwerk anzutreffen ist. Unwahrscheinlich als Host sind Mobilgeräte wie Telefone und Tablets.
Das ist alles noch Schadensbegrenzung. Das Netzwerk so abzusichern, dass es sich nicht wiederholt, ist ein ganz anderer, weiterer Schritt. Der macht aber so lange wenig Sinn, wie der Angriff von innen kommt.
Synology-bashing finde ich übrigens seltsam. Wer blind Pakete installiert („ist ja toll, was es da alles umsonst gibt“) und dann auch noch alles aufreißt, was geht, der hat sich das Problem selbst ins Haus geholt. Es gibt zu jedem Paket Hilfetexte, und die beschreiben auch, wie man die nötigen Zugänge absichern muss, zum Beispiel durch die Firewall oder den Reverse Proxy. Aber dazu gehört auch, dass man sich das durchliest und einstellt, bevor man „All in“ geht mit seinen Ports.
Die kleinste Angriffsfläche bietet immer das Paket, das man DEINSTALLIERT hat. Je weniger läuft (nur das, was man tatsächlich BENÖTIGT), um so einfacher ist die Absicherung. Für diese Erkenntnis muss man kein Diplom in Raketenwissenschaft haben. Dafür reicht Küchenlatein.
