Kann Ransome- / Malware NAS über's Webinterface infizieren?

eulenmongol

Benutzer
Mitglied seit
11. Mai 2022
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Kurze Zusammenfassung:
Bin in der Ausbildung zum ITler und mussten heute Endpoint Security Server in einer virtuellen Umgebung in der Schule installieren, konfigurieren und testen. Was hab ich natürlich gedacht? Komm zieh dir doch von Github einen kompletten Ordner voll mit Malware herunter (auf der Test-VM) und lass die ausführen. -> Ich weiss, wie doof :)

Nebenbei hatte ich auf dem Host selber eine Verbindung mittels Webportal auf mein NAS hergestellt und mich angemeldet um Screenshots und Dokumentationen zwischen Computer und Drive hin- und her zu schieben.

Nun mach ich mir Gedanken ob es der Fall sein könnte dass einer dieser Malwares, welche ich ausgeführt habe, mein NAS infiziert hat (falls dies überhaupt per DSM-Webportal möglich ist).

In den Logs von Drive sehe ich keine komischen Daten welche hinauf geladen wurden, sondern nur meine selber hinauf geladenen Dateien und auch der hauseigene Scan findet nichts.

Und ja, ich weiss im Nachhinein dass es Tools zum testen gäbe statt direkt Malwares zu ziehen:)

Zusatzinfo: NAS steht zuhause und ich war in der Schule, somit nicht direktes Netz. Die virtuellen Maschinen waren selber auch alle nicht im Host-Netz, sondern wurden durch ne FW genattet.

Was meint ihr, NAS reseten und letztes Backup ziehen oder kann ich ohne ungutes Gefühl dies weiter laufen lassen?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Natürlich kann auch ein NAS von Malware befallen werden, auf jeder Ebene. Nur weil da ein DSM auf einem Linux-Kernel (und nicht dem neuesten) läuft, macht das das System ja nicht immun. Auch Ausbrüche aus Dockern oder VMs hat es schon gegeben.

Wir hatten sogar Fälle im Forum, wo ein Ransom-Trojaner überhaupt keine Verschlüsselungssoftware mit brachte. Er nutze einfach die vorhandenen Bordmittel der DS zum Verschlüsseln. Die sind (in dem Fall leider) ziemlich gut.

Kann sein, das nichts passiert ist. Kann genauso gut sein, dass da jetzt etwas Übles liegt und auf Aktivierung wartet - das passiert oft erst Wochen oder Monate später. Die konservative Strategie heißt daher Zurücksetzen und Backup einspielen.
 
  • Like
Reaktionen: eulenmongol

eulenmongol

Benutzer
Mitglied seit
11. Mai 2022
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Geht das wirklich auch über das Webportal (https)? Müsste dazu nichts im Upload-Protokoll zu finden sein?
Ich hatte alle Malwares über VM-Player auf der virtuellen Maschine und die Verbindung über den Webbrowser auf dem Host selber offen.

Zum guten Glück ging die Syno sowieso 10 min später offline, da ein Netzwerktechniker im Haus die Konfiguration des Modem änderte.

Wenn ich die Syno vom Backup wiederherstelle, sollte ich da alle Platten am besten LLW-Formatieren und dann die Syno neu installieren und vom Hyper-Backup wiederherstellen?

Danke und Gruss
 
Zuletzt bearbeitet von einem Moderator:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Typischerweise gelangt zuerst nur ein Codeschnippsel auf das Endgerät. Das stellt dann die Verbindung zu einem C&C Server her.

Von dort wird die eigentliche Schadsoftware nachgeladen. Ich denke nicht, dass das transparent in den Logfiles steht.

Meine Aussage ist nicht „da ist was“. Meine Aussage ist: Es kann nicht ausgeschlossen werden.

Wie ihr damit umgeht, müsst ihr selbst entscheiden. Ich denke ein kleiner Reset incl. Zurückspielen des Backups von Zeit zu Zeit hält den Übungsgrad aufrecht. Aber klar, kommt auf die Umstände an.
 
  • Like
Reaktionen: framp

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
  • Like
Reaktionen: Synchrotron

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.503
Punkte für Reaktionen
1.093
Punkte
194
Was hab ich natürlich gedacht? Komm zieh dir doch von Github einen kompletten Ordner voll mit Malware herunter (auf der Test-VM) und lass die ausführen.
Verrückte Mongol!

Jetzt mal Butter bei de Fische. Die Aktion ist ziemlich strange, aber irgendwie noch nachvollziehbar. Wenn du dir von Github eine Malware-Sammlung gezogen hast, sollte darüber halbwegs nachvollziehbar sein, ob diese überhaupt auf DSM ausgerichtet ist. Daraus kann man dann seine eigenen Rückschlüsse ziehen bzw. eine Risikobewertung vornehmen. Wie Synchrotron sagte, gibt es keine 100% Sicherheit, ob das System rein ist oder nicht. Ganz kritisch betrachtet, gibt es die aber selbst im laufendem Betrieb nicht.

DSM stand noch nicht im Fokus von vermehrten Hacking-Attacken. Ich persönlich halte das Risiko für überschaubar.
 
  • Like
Reaktionen: Synchrotron

eulenmongol

Benutzer
Mitglied seit
11. Mai 2022
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen
Vielen Dank nochmals für die Antworten. Nach einer kurzen "runterkommen" hab ich mir nochmals Gedanken darüber gemacht und die Gefahr eingeschätzt und bin mir "ziemlich" sicher das die DSM clean ist. Aber wie schon @Ulfhednir sagte, mann kann sich nie sicher sein dass da was sein kann...

Naja schaumer was die Tage / Monate bringen ;) wünscht mir Glück
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
740
Punkte für Reaktionen
143
Punkte
69
  • Like
Reaktionen: Fusion


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat