Kann Ransome- / Malware NAS über's Webinterface infizieren?

[eulenmongol]

Kurze Zusammenfassung:
Bin in der Ausbildung zum ITler und mussten heute Endpoint Security Server in einer virtuellen Umgebung in der Schule installieren, konfigurieren und testen. Was hab ich natürlich gedacht? Komm zieh dir doch von Github einen kompletten Ordner voll mit Malware herunter (auf der Test-VM) und lass die ausführen. -> Ich weiss, wie doof

Nebenbei hatte ich auf dem Host selber eine Verbindung mittels Webportal auf mein NAS hergestellt und mich angemeldet um Screenshots und Dokumentationen zwischen Computer und Drive hin- und her zu schieben.

Nun mach ich mir Gedanken ob es der Fall sein könnte dass einer dieser Malwares, welche ich ausgeführt habe, mein NAS infiziert hat (falls dies überhaupt per DSM-Webportal möglich ist).

In den Logs von Drive sehe ich keine komischen Daten welche hinauf geladen wurden, sondern nur meine selber hinauf geladenen Dateien und auch der hauseigene Scan findet nichts.

Und ja, ich weiss im Nachhinein dass es Tools zum testen gäbe statt direkt Malwares zu ziehen

Zusatzinfo: NAS steht zuhause und ich war in der Schule, somit nicht direktes Netz. Die virtuellen Maschinen waren selber auch alle nicht im Host-Netz, sondern wurden durch ne FW genattet.

Was meint ihr, NAS reseten und letztes Backup ziehen oder kann ich ohne ungutes Gefühl dies weiter laufen lassen?

 

[Synchrotron]

Natürlich kann auch ein NAS von Malware befallen werden, auf jeder Ebene. Nur weil da ein DSM auf einem Linux-Kernel (und nicht dem neuesten) läuft, macht das das System ja nicht immun. Auch Ausbrüche aus Dockern oder VMs hat es schon gegeben.

Wir hatten sogar Fälle im Forum, wo ein Ransom-Trojaner überhaupt keine Verschlüsselungssoftware mit brachte. Er nutze einfach die vorhandenen Bordmittel der DS zum Verschlüsseln. Die sind (in dem Fall leider) ziemlich gut.

Kann sein, das nichts passiert ist. Kann genauso gut sein, dass da jetzt etwas Übles liegt und auf Aktivierung wartet - das passiert oft erst Wochen oder Monate später. Die konservative Strategie heißt daher Zurücksetzen und Backup einspielen.

 

[eulenmongol]

Geht das wirklich auch über das Webportal (https)? Müsste dazu nichts im Upload-Protokoll zu finden sein?
Ich hatte alle Malwares über VM-Player auf der virtuellen Maschine und die Verbindung über den Webbrowser auf dem Host selber offen.

Zum guten Glück ging die Syno sowieso 10 min später offline, da ein Netzwerktechniker im Haus die Konfiguration des Modem änderte.

Wenn ich die Syno vom Backup wiederherstelle, sollte ich da alle Platten am besten LLW-Formatieren und dann die Syno neu installieren und vom Hyper-Backup wiederherstellen?

Danke und Gruss

 

[Synchrotron]

Typischerweise gelangt zuerst nur ein Codeschnippsel auf das Endgerät. Das stellt dann die Verbindung zu einem C&C Server her.

Von dort wird die eigentliche Schadsoftware nachgeladen. Ich denke nicht, dass das transparent in den Logfiles steht.

Meine Aussage ist nicht „da ist was“. Meine Aussage ist: Es kann nicht ausgeschlossen werden.

Wie ihr damit umgeht, müsst ihr selbst entscheiden. Ich denke ein kleiner Reset incl. Zurückspielen des Backups von Zeit zu Zeit hält den Übungsgrad aufrecht. Aber klar, kommt auf die Umstände an.

 

[Jagnix]

Ich weiss, wie doof

Nö, wir waren alle mal jung.

 

[Ulfhednir]

Was hab ich natürlich gedacht? Komm zieh dir doch von Github einen kompletten Ordner voll mit Malware herunter (auf der Test-VM) und lass die ausführen.

Verrückte Mongol!

Jetzt mal Butter bei de Fische. Die Aktion ist ziemlich strange, aber irgendwie noch nachvollziehbar. Wenn du dir von Github eine Malware-Sammlung gezogen hast, sollte darüber halbwegs nachvollziehbar sein, ob diese überhaupt auf DSM ausgerichtet ist. Daraus kann man dann seine eigenen Rückschlüsse ziehen bzw. eine Risikobewertung vornehmen. Wie Synchrotron sagte, gibt es keine 100% Sicherheit, ob das System rein ist oder nicht. Ganz kritisch betrachtet, gibt es die aber selbst im laufendem Betrieb nicht.

DSM stand noch nicht im Fokus von vermehrten Hacking-Attacken. Ich persönlich halte das Risiko für überschaubar.

 

[eulenmongol]

Hallo zusammen
Vielen Dank nochmals für die Antworten. Nach einer kurzen "runterkommen" hab ich mir nochmals Gedanken darüber gemacht und die Gefahr eingeschätzt und bin mir "ziemlich" sicher das die DSM clean ist. Aber wie schon @Ulfhednir sagte, mann kann sich nie sicher sein dass da was sein kann...

Naja schaumer was die Tage / Monate bringen wünscht mir Glück

 

[stulpinger]

@eulenmongol , muss meinen "Senf" auch noch dazugeben

Lowlevel-Formatieren gibt's schon lange nicht mehr, gab's damals bei den MFM, RLL HDDs

https://www.seagate.com/gb/en/suppo...format-a-sata-or-ata-ide-hard-drive-203931en/