DSM 6.x und darunter Hacker Angriffe auf synology und qnap

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Im privaten Gebrauch dürfte die Nutzung je nach Wissensstand des "Admin" durchaus besser sein als eine händische Administration. Die Beobachtung des Proxy ist eher etwas für staatliche Akteure. Wir reden hier schließlich immer noch von den üblichen Kleinkriminellen. APT-Gruppen und Co suchen sich zumeist lohnendere Ziele.
Technisch kann man über einen Reverse Proxy sogar typische Angriffsmuster unterbinden (z.B. Clients die auffällig viele Hosts durchprobieren die sonst in keinem Zusammenhang stehen, Aufruf präparierter URLs usw.)

MfG Matthieu
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Ein potentieller Angreifer weiss aber nicht, was sich hinter der Firewall verbirgt, von daher ist ein Syno Nutzer genau so gefährdet wie eine Firma mit IBM Backbone.
Höchstens die Erkenntnis, dass die Firewall von einer zB Fritz stammt dürfte einen Hinweis auf weniger interessante Zielgeräte sein.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Ein potentieller Angreifer sollte schon ungefähr wissen, wo er einsteigt, ansonsten ist es doch nur Phishing auf der Suche nach den schnell verwertbaren Dingen. Kein Mensch (und auch kein Hacker) macht sich Mühe, mehr als das schnelle Standardprogramm durchzuziehen, wenn er nicht mindestens ungefähr den Lohn der Mühe abschätzen kann.

Mein 20€ Alltagsfahrrad kann ich mit einer Büroklammer sichern, das klaut niemand, aber mein 2000€ Rad sichere ich ganz anders.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Mal ganz dumm gefragt: Woher soll ein Hacker wissen, was sich hinter einer IP verbirgt? Der Rückschluss von der Homepage IP auf die LAN-IP klappt nur, wenn man zB seine Homepage über die Syno laufen lässt. Sowas ist bei Firmen eher selten der Fall.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Gibt doch tendentiell und ganz grob gesehen eh nur 2 Möglichkeiten: a) Man kennt das Ziel und versucht irgendwie einzudringen, b) man kennt das Ziel nicht, hat aber einen entsprechenden Exploit für einen bestimmten Dienst/Software zur Hand und da heisst es dann: die Masse machts, irgendwas wird schon dabei abfallen.

@NSFH: Dumm finde ich die Frage nicht, allerdings verraten die PTR-Records so mancher IP-Adressen schon eine ganze Menge (grade bei statischen IP-Adressen), oder eben auch die Netzzugehörigkeiten (RIPE). Immer mehr kleinere Firmen haben kleine bis mittelgroße Synos laufen (das sind dann die berühmten "Macher" die keine Admins brauchen und alles selbst können und von Sicherheit i.d.R. sowieso keine Ahnung haben ;)). Selbst bei größeren Firmen (50+ Mitarbeiter) kann so manches Loch entstehen, Du wirst auch so einige Spezis in festen Adminjobs kennen, welche da ... sagen wir mal vorsichtig "entsprechend veranlagt" sind :D
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Hallo,
mit solchen Themen kannst du ganze Bücher füllen und die wirklich guten Tricks erfährt unsereins sowieso nicht. Mal ein paar Anhaltspunkte:
- ganz groß im Trend und aktuell ein großes Problem: Per Social Engineering ein Einfallstor finden - dann braucht man die IP nicht, denn das läuft meist über Mailanhänge o.ä. (für einiges braucht man auch gar keinen Zugang zu den Geräten, Stichwort Überweisungen / CEO-Trick)
- viele speziell Mittelständler nutzen noch Exchange Onsite, dann sieht man es in den Metadaten der Mails
- Fernzugriff läuft meist über verbreitete Appliances oder Geräte welche man via DNS oder IP aufspüren kann
- Konzerne haben teilweise ganze AS (Autonome Systeme) für sich und damit IP-Blöcke die man scannen kann

Dabei geht es mir jetzt um die gezielten Angriffe! Die Tendenz geht aber klar dazu, den Faktor Mensch auszunutzen. Dann ist man direkt drin und braucht sich über solche Dinge keine Gedanken zu machen.

MfG Matthieu
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
"Bücher"... wohl eher "Bibliotheken" :D SE steht sowieso immer ganz oben auf der Liste (weil dümmer geht's einfach nicht mehr), das ist aber nicht nur in der IT so, auf den Zug sind auch schon die ganz normalen Einbrecher aufgesprungen :D Wo Du grade das Mail-Thema ansprichst... auch immer wieder schön (nebst internen IP-Adressen und Hostnamen), das "authenticated sender" in den Headern und schon hat man seinen ersten Username (fehlt nur noch ein bisschen SE für das schwache Passwort *hust*), dabei gibt es ja durchaus Möglichkeiten, solche Dinge in den Griff zu bekommen. Interessiert nur die meisten nicht... Was die AS angeht, so ungefähr meinte ich das vorhin auch mit den PTR's und den Zugehörigkeiten. Wobei es ja nicht direkt ein ganzes AS sein muss, ein entsprechendes Netz reicht ja schon (dafür braucht man ja nicht zwangsläufig ein AS).

"Die Tendenz geht aber klar dazu, den Faktor Mensch auszunutzen" das war schon immer so (wenn Du nun nicht gezielt "nur" SE meintest), auch wenn man es früher nicht so "nötig" hatte :D Ich mein sicher... früher war es aus "technischer" Sicht schon "bedeutend" einfacher als heute und es gab auch einfach viel weniger Soziales über die Leute im Netz. Wer heutzutage Passwörter raten will, schaut einfach beim Facebook-Account des gewünschten Users nach den Namen und Geburtstagen von Familienmitgliedern (und Haustieren). Bei physikalischen Zugängen helfen auch immer die Postits am (und rund um) den Monitor... Nimmt sich ja im Grunde nix, ob irgendein "Hacker" eine Person ausnutzt, oder irgendwelche Geheimdienste oder sowas... Da klingelt dann halt irgendwer irgendwie für irgendwas, verschafft sich Zutritt und schaut dann, dass er ggf. unbemerkt irgendwo eine Wanze versteckt, oder - liest man ja auch "immer wieder" - einfach nur alte Leute beklaut. Ich sag mal so: Ist halt blöde für die Gesellschaft gelaufen, dass ERST der Facebook-Hype kam und DANACH erst (für die breite Allgemeinheit) das Thema Sicherheit auf dem Tisch gelandet ist. Jeder hat es auch mit Sicherheit schon mal gehört "ich hab ja nix zu verbergen" (das war bei der Thematik Vorratsdatenspeicherung auch schon immer so eine der Hauptaussagen).

Für gezielte Angriffe gibt es - meiner Meinung nach - auch nichts "besseres" als SE, wobei ... wenn man ehrlich ist... soviel tut da überhaupt nicht Not (je nach Zielvorhaben)... das einfachste Beispiel wäre der Name des Geschäftsführers (welcher überall frei einsehbar ist)... Im Namen dessen kriegt irgendwer eine Mail innerhalb der Firma... Wer würde da bitte nicht drauf klicken (wenn entsprechend ordentlich formuliert), wenn die Mail (augenscheinlich) vom Geschäftsführer kommt? Da wird i.d.R. nicht mehr groß "geprüft", sondern einfach nur noch panisch geklickt...

Ein anderes - direkteres Beispiel - synology-forum.de hat - ganz offensichtlich - irgendwelche Verträge mit Seagate (ansonsten würde hier nicht soviel Werbung von denen landen). Wie sieht's denn aus mit einer Mail á la " Betreff: Änderung Ihres Seagate-Partnervertrages", Inhalt: "Sehr geehrte Damen und Herren (oder direkter Herr Rendenbach), aufgrund interner Umstrukturierungen werden auch Änderungen an unseren Partnerverträgen vorgenommen. Die alten Partnerverträge verlieren Ihre Gültigkeit zum 01.08.2019. Eine Übersicht über die Änderungen finden Sie hier (Link). Wenn Sie Ihren derzeitigen Vertrag ab dem 01.08.2019 mit den entsprechenden Änderungen weiterführen möchten, klicken Sie bitte auf den unten stehenden Bestätigungslink. Wünschen Sie in Zukunft keinerlei Benachrichtungen dieser Art mehr, können Sie sich hier vom Mailverteiler abmelden (Link). Mit freundlichen Grüßen, Ihr Seagate-Partnerteam" ... oder irgendwie sowas... Punkt ist dabei sowieso immer "nur", dass man einen Benutzer zur "sofortigen Handlung" bekommt. Es macht ja nur noch den Unterschied, ob man vorher schaut, was sich hinter dem Link verbirgt, oder ob man einfach direkt klickt. In diesem Beispiel sind eben auch alle Informationen frei verfügbar. Grade bei gezielten Angriffen, ist es natürlich auch noch umso einfacher an notwendige Informationen zu kommen. Noch einfacher (bzw. glaubwürdiger) wäre es z.B., wenn man auf den Seagate-Websiten noch die Namen der Ansprechpartner für die Seagate-Partner in Deutschland (oder DACH-Region) finden würde, dann könnte man deren Namen darunter setzen. Ich gehe nun nicht davon aus, dass diese Mail blindlinks angeklickt wird, ist aber ein gutes Beispiel dafür, wie man sich Zutritt verschaffen kann. Wenn man bedenkt, dass am anderen Ende z.B. eine Empfangsdame sitzt, die eine Anweisung vom "Chef" bekommt, da wird nicht mehr viel gefragt, sondern einfach nur gemacht... "und so zerbröselt der Keks nunmal" :D

Ich sag es auch immer wieder: technische Sicherheit ist eine Sache, die Mitarbeiter entsprechend zu schulen (damit nicht auf jeden Rotz geklickt wird) eine ganz andere...:rolleyes:
 

MeisterMü

Benutzer
Mitglied seit
14. Jun 2019
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Wie sieht es denn für "den Fall der Fälle" aus, wenn ich 2 DS über Drive share Sync verbunden habe und DS 1 von dem Angriff betroffen ist. die 2. Soll als Sicherung synchron zur 1. sein. kann der Angreifer theoretisch von einer zur anderen 'wandern'?
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Um den Angreifer würde ich mir weniger Sorgen machen als um die Daten. Dem User für den Sync solltest du so wenig Rechte wie möglich einräumen, dann hast du das zumindest eingedämmt. Aber ein mal verschlüsselte Daten sind auf beiden Seiten verschlüsselt ...
Ein Backup ist durch nichts zu ersetzen!

MfG Matthieu
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Wenn es um Ransom geht ist die Sachlage ganz banal.
Alles was im direkten Zugriff des befallenen PCs ist, egal ob SATA, USB oder Netzwerk, wird verschlüsselt.
Synct man eine 2.DS werden dort hin natürlich die verschlüsselten Dateien übertragen.
Was nicht im direkten Zugriff ist ist die Cloud wie zB C2. Wenn man dort ein versionisiertes Backup liegen hat sollte man safe sein.

Ein kleiner Workarround schützt das lokale Backup am eSATA oder USB Anschluss:
Server nachts schlafen schicken
In den frühen Morgenstunden starten. Dabei wird das eSATA oder USB Laufwerk erkannt und gemountet.
Jetzt das tägliche Backup starten
Anschliessend das ext Lw wieder auswerfen.

Wer es sicherer haben will macht dies alternierend mit 2 externen HDs.
Innerhalb von 48 Stunden sollte man bemerkt haben, dass einem der PC verschlüsselt wurde.
 

Jabbaaar

Benutzer
Mitglied seit
25. Jul 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Moin zusammen,
Hab da mal ne Frage zu diesem Thema an das geballte Netzwissen ;-)

Seit ein paar Tagen werde ich auch mit Login-attempts bombardiert.
Grundsätzlich kein Problem, da das Admin-Konto schon lange nicht mehr existiert und 2fa ebenfalls genutzt wird.

Da es mich aber nervt habe ich die Port-Freigabe auf der Fritzbox deaktiviert und auch QC disabled.

Nun meine Frage.. warum gelangen die Login-Attempts weiterhin an meine Synology????
Eigentlich müssten die doch an der fritzbox abprallen, oder?

thanks in advance
Tom
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Keinerlei Portfreigabe an die Syno aktiv?
Auch nicht per Automatik ala Routerkonfiguration / EZ Internet?
Oder irgendwas in die DMZ der Fritzbox gepackt?

Ganz einfach, irgendwo muss noch was offen sein, sonst wäre die DS nicht erreichbar (Werkszustand für Syno und Fritz).
 

Jabbaaar

Benutzer
Mitglied seit
25. Jul 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
So sehe ich das auch, Nur was?
Das Enzige was mir dazu noch einfällt, ich hab die fritzbox-Freigabe zwar gelöscht, aber die Box nicht neu gestartet..
Vielleicht ist da noch was im Speicher.

EZ-Internet ist doch nur ne konfigurationshilfe, oder?
Wenn ich die Freigabe auf der fritzbox lösche ist EZ-Internet doch raus, oder?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wenn die Routerkonfiguration auf der DS aktiv ist richtet er die Freigaben immer wieder neu ein. Automatismen halt.
Fritz würde ich auf jeden Fall mal neu starten, ist halt nur ne Consumer Box, die braucht manchmal einen Anstoß etwas zu vergessen.
 

Jabbaaar

Benutzer
Mitglied seit
25. Jul 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Da die Freigabe bisher nicht wieder auf der Fritzbox aufgetaucht ist werde ich die Box erstmal neu starten..
Danke erstmal...
 

Jabbaaar

Benutzer
Mitglied seit
25. Jul 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Das wars tatsächlich.
QC müsste ich doch eigentlich wieder aktivieren können, oder?

Das sollte doch unabhängig davon funktionieren.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Unabhängig von was?
Von 0815 IP und port scans, ja.
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.218
Punkte für Reaktionen
74
Punkte
114
Bekomme seit heute Mitternacht immer Warnungen von meiner Firewall bzgl. ausgehender Verbindungen der Syno, alle 10 Minuten übrigens!

Message: IPS Alert 2: Potentially Bad Traffic. Signature ET DNS Query for .to TLD. From: 192.168.178.23:39184, to: 1.0.0.1:53, protocol: UDP

Weiß man schon genaueres über den Hack, welcher Prozess da dann läuft zB?



EDIT:

Habe jetzt mal im Syno DNS, den ich verwende um intern auch auf meine Domain zu kommen, den DNS von Cloudflare auf Google geändert.
Same shit, also liegt mal nicht am DNS Anbieter!
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.104
Punkte für Reaktionen
2.069
Punkte
259
Jemand scannt nach offenen Ports. Wenn dahinter eine Synology läuft, werden Einloggingversuche durchgeführt. Um die IP-Sperre zu umgehen, von wechselnden IPs. Aber immer auf den „admin“-user, mit einem brute force-Ansatz für das PW (durchprobieren...). Das läuft auf einem Rechner(netz), vermutlich einem Botnetz von vorher „gekaperten“ Rechnern, und vollautomatisiert.

Wenn der login erfolgreich ist, wird Schadsoftware injiziert, die mit den admin-Rechten dazu genutzt wird, das System zu verschlüsseln.

Abwehrmaßnahmen:

- Ist der externe Zugang derzeit nicht nötig, dicht machen. D.h. den offenen, weitergeleiteten Port auf dem Router schließen.
- Zweiten, anders benannten Admin-User einrichten, den „admin“ deaktivieren.
- Starkes Passwort verwenden, wobei bei Brute force Länge noch wirksamer ist als die Zeichenfolge selbst. Brute force beginnt oft mit einem Wörterbuchangriff, also am besten PW mit einem PW-Manager generieren, und kein PW mehrfach verwenden.

Die letzten beiden Maßnahmen sind dauerhaft sinnvoll.

Hinweis: Ich ziehe mein Wissen aus dem, was über den Angriff in offenen Medien berichtet wird.

Hinweis 2: Das ist dieser eine, derzeit laufende Angriff. Das größere Risiko besteht weiterhin durch einen Verschlüsselungstrojaner, der auf anderem Weg ins eigene Netz gelangt, und von innen heraus alles verschlüsselt, auch Netzwerkfreigaben. Hier spielt „Social Engineering“ die entscheidende Rolle, meist über eine E-Mail mit interessanten (...) oder drohenden („Letzte Mahnung ...“) Inhalten. Derzeit geht es dann immer darum, den User zu veranlassen, den Anhang zu öffnen und die darin enthaltenen Makros (Office !) bzw. ausführbaren Dateien zu aktivieren.

Dagegen hilft nur Aufmerksamkeit, und im Fall der Fälle ein Backup auf ein körperlich getrenntes Laufwerk. Also nach dem BU abstöpseln oder zumindest auswerfen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat