DSM 6.x und darunter Malware auf wd rma hdd?

[hilton_syn]

Hallo,

folgendes ist passiert:
- kaputte WD HDD (Enterprise class, weniger als ein Jahr alt...) im NAS
- per RMA angeforderte Austauschplatte kommt als recertified hdd
- heute um 9:54 Festplatte gewechselt und NAS neu gestartet
- exakt 1 Minute später beginnt sich im 30-60 Minuten das Firewall Log zu füllen
- intrusion detection ausgehend vom NAS immer im Paar, einmal von port 80 einmal port 443
- bis dato hatte ich NULL solche Art von detections

Nachricht Typ1:
Date: 11/12/2014 16:41:28

The packet below

Src: interne.ip.des.nas:80 Dst: externe.IP.des.nas:16658 {1781EF+} (TCP)

MAC-Header (14 Bytes)

00 a0 57 1e 93 37 00 11 32 28 9d 47 08 00 | ..W..7.. 2(.G..

IP-Packet (128 Bytes):

45 00 05 1d 81 c3 40 00 40 06 74 50 c0 a8 03 22 | E.....@. @.tP..."
5d b5 1e 48 00 50 41 12 37 2f 08 97 f8 c2 45 3b | ]..H.PA. 7/....E;
50 18 00 f5 c9 72 00 00 48 54 54 50 2f 31 2e 31 | P....r.. HTTP/1.1
20 32 30 30 20 4f 4b 0d 0a 44 61 74 65 3a 20 57 | 200 OK. .Date: W
65 64 2c 20 31 32 20 4e 6f 76 20 32 30 31 34 20 | ed, 12 N ov 2014
31 35 3a 33 37 3a 35 31 20 47 4d 54 0d 0a 53 65 | 15:37:51 GMT..Se
72 76 65 72 3a 20 41 70 61 63 68 65 0d 0a 4d 53 | rver: Ap ache..MS
2d 53 65 72 76 65 72 2d 41 63 74 69 76 65 53 79 | -Server- ActiveSy

matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1

because of this the actions below were performed:
drop
send syslog message
send SNMP trap
send email to administrator

Nachricht Typ 2:
Date: 11/12/2014 16:47:16

The packet below

Src: interne.ip.des.nas:443 Dst: 141.212.121.67:60097 (TCP) > Adresse bei der Uni Michigan in USA = NSA or sub ?!? ;-)

MAC-Header (14 Bytes)

00 a0 57 1e 93 37 00 11 32 28 9d 47 08 00 | ..W..7.. 2(.G..

IP-Packet (44 Bytes):

45 00 00 2c 00 00 40 00 40 06 6f ea c0 a8 03 22 | E..,..@. @.o...."
8d d4 79 43 01 bb ea c1 e5 39 25 2e d9 6a 45 e1 | ..yC.... .9%..jE.
60 12 39 08 7d fb 00 00 02 04 05 b4 | `.9.}... ....

matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1

because of this the actions below were performed:
drop
send syslog message
send SNMP trap
send email to administrator

Was ich mich nun frage
1) ist das nur Zufall, dass mit Einbau einer 2nd hand refurbished Platte plötzlich intrusion detections von innen nach außen vom NAS auftreten?
2) Sind das ggf. statische oder sonstige Daten die Synology quasi als "Funktion" bei Reparieren eines RAIDs erfassen möchte?
3) Wie 2 nur für WD?
4) Bezüglich 2 die Funktion "Datenaustausch etc aktivieren" ist schon immer DEAKTIVIERT
5) Kann man sich vorstellen, dass eine WD RMA 2nd hand Platte Malware verseucht zum Kunden kommt?

Hat einer eine Idee / Meinung?

Was kann / soll ich tun??

 

[hilton_syn]

Also es ist tatsächlich so wie befürchtet.

Trennung des NAS vom WAN macht keinen Unterschied, die Firewall lief zuletzt im 1-2 Minutentakt mit Intrusions vom NAS Richtung WAN voll.

Nachdem die Reparatur des RAIDs abgeschlossen war habe ich die RMA Platte von WD wieder gegen die originale kaputte getauscht und siehe da, keine Intrusions mehr.

Mit anderen Worten, man bekommt von Western Digital im Rahmen von RMA nicht nur 2nd hand refurbished bzw. recertified Platten - auch für Enterprise Platten - sondern man bekommt sogar noch gratis MALWARE oben drauf.

Das werde ich mir von WD so nicht gefallen lasen.

 

[jahlives]

und wieso musst du dazu zwei Thread aufmachen? Und dann noch mit Copy&Paste? Lass das auch wenn das "Verhalten" von WD sicher nicht sauber ist. Ich schliesse den anderen Thread.

 

[hilton_syn]

Sorry, weil ich den Titel des ersten nicht mehr ändern konnte und danke für's rausnehmen.

 

[hilton_syn]

So jetzt wird's noch interessanter.

Eine der beiden Pakete sollte an eine Adresse gesendet werden, die über whoisip identifiziert werden konnte. Dort habe ich mich gestern bei abuse@ beschwert. Daraufhin kam dann folgende Nachricht:

Hi,

These connections are part of an Internet-wide network survey being conducted by computer scientists at the University of Michigan. This research focuses on broadly understanding the deployment of security protocols (e.g. HTTPS and SSH) and involves making regular connections to large subsets of the public IP address space and analyzing the responses.

We emphasize that we are not attempting to hack into your network or probe for vulnerabilities. Our scans do not attempt to guess passwords or access any data that is not publicly visible. Our research focus is not individual networks, but rather broad patterns in protocol usage over millions of hosts. Some of our previous results can be found at http://conferences.sigcomm.org/imc/2013/papers/imc257-durumericAemb.pdf.

If these scans are causing problems, we can exclude your organization from future research scans.

Cheers,
Ariana Mirian
University of Michigan


Daran ist nur eine Sache falsch. Die Scans kamen nicht von außen nach innen, sondern sie kamen mit einer RMA Festplatte und gingen von innen nach aussen.

Und es geht um AUswerung von HTPPS und SSH

Schon klar.

Vielen Dank WD, da bin ich nur froh, dass ich einen Lancom Router ohne NSA backdoor habe, denn ansonsten hätte meine Firewall diese Pakete vermutlich gar nicht blockiert und sonst was nach USA gesendet.

Ich weiß gar nicht was ich dazu in Summe sagen soll bzw. machen soll. Ich finde das oberkrass.

 

[jahlives]

bist du 150% sicher dass die abgefangenen Pakete nicht Antworten auf Anfragen waren? Die Src Ports waren ja jeweils 80 und 443 und die kommen eigentlich als Src nur bei Antworten vor

 

[Merthos]

Ich glaube ja viel, aber gewiss nicht, dass ein Festplatte in einem Raid in einem NAS (also doch eine eher exotische Konstellation auf spezieller HW) in der Lage ist, auf das Netz zuzugreifen.

 

[jahlives]

ich würde mal etwas mit tcpdump arbeiten

#erstmal gucken ob SYN Pakete von aussen kommen
# dann wären es wohl scans von aussen
tcpdump -i eth0 -n 'tcp[13] & 2!=0 and tcp port 443 and src 141.212.121.67'
# dann gucken ob SYN/ACK Pakete von aussen kommen
# dann wären es wohl von innen initierte Verbindungen
tcpdump -i eth0 -n 'tcp[13]=18 and tcp port 443 and src 141.212.121.67'

es wäre nicht ungewöhnlich, dass Netzwerke von aussen gescannt werden. Macht bei uns in der CH z.B. die Switch oder eine Uni in der Westschweiz

 

[Matthieu]

In Deutschland scannt das CERT des Bundes, welches dem Bundesamt für Sicherheit in der Informationstechnik (BSI) angehört regelmäßig die deutschen Netze (basierend auf ASN). Insbesondere für DDoS ausnutzbare Rechner und Dienste sind da stets im Visier.
Solche Scans sind nun mal ebenso nervig wie gewöhnlich.

MfG Matthieu

 

[tschortsch]

Irgendwie klingt das ganze sehr unglaubwürdig da eine Festplatte bei der installation in der DS ja von dieser mal initialisert wird und dabei werden ja sämtlich Partionen neu erstellt.
Nicht umsonst sagt ma allen die eine externe Platte mit Daten einbauen wollen das diese gelöscht werden. Somit kann da nix drauf sein.

Wie sollte dann darauf etwas überleben und dann noch zusätzlich im DSM aktiv werden? Da ist zum ersten mal das DSM auf Linux (ist natürlich nicht umbedingt ein garant dafür aber Viren und Malware gibts überall) und dann auch noch speziell auf den Prozessor der DS (wenns kein Intel ist) geschrieben sein.

Wenn das alles zusammenkommt müßte das so etwas sehr spezielles sein und kann nur gezielt sein. Aber wer würde sich dann die Arbeit machen dies Malware auf einer RMA HDD von WD installieren in der Hoffnung das genau du die bekommst... da gibts sicher einen leichteren Weg.

Du schreibst ja auch das du RAID verwendest also müßten die besagte Malware schon auf den anderne Festplatten sein. Die wird nicht einfach aktiv wenn eine neu HDD eingebaut wird.

 

[hilton_syn]

Lieber Tschortsch,

ich denke Du bist nicht ganz auf dem neuesten Stand was die Möglichkeiten und Funktionsweisen von Malware angeht. Was den Prozessor angeht, hier arbeitet eine RS814+ mit Intel Atom.

Und was die Frage des Hardwareabfangens angeht zum Zwecke der Manipulation lies doch zB mal hier http://www.zdnet.de/88192976/bericht-nsa-stattet-den-usa-hergestellte-hardware-mit-hintertueren-aus/ war übrigens auch Thema im NSA Untersuchungsausschuss, nachzulesen bei Netzpolitik.org.

Schönen Tag noch

PS ein Tor wer glaubt das das Märchen sind http://www.sueddeutsche.de/digital/...schen-tor-nutzer-ausspioniert-haben-1.2029100

 

[hilton_syn]

@Jahlives vielen Dank für Deinen konstruktiven Beitrag. Ich habe das ausprobiert, und es kamen folgende Meldungen:

RS814> tcpdump -i eth0 -n 'tcp[13] & 2!=0 and tcp port 443 and src 141.212.121.6
7'
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

Was soll mir das sagen?

 

[goetz]

Hallo,die
RS814+ hat 4 LAN Ports, an welchem hast Du das Kabel dran? Das Interface sieht man auch per
ifconfig

Gruß Götz

 

[hilton_syn]

Hallo Götz,

Lan1-3 bilden einen Bond und zeigen nach innen, Lan-4 zeigt Richtung WAN. LAN-4 ist auch der der sendet.

 

[Frogman]

...ich denke Du bist nicht ganz auf dem neuesten Stand was die Möglichkeiten und Funktionsweisen von Malware angeht.

Ohne es nun für diesen aktuellen Fall anzunehmen - aber dieser Aussage möchte ich mich anschliessen. Jetzt einmal abgesehen davon, dass es auf jeder Platte genügend Sektoren gibt, die beim Formatieren nicht angefasst werden, aber die Berichte zum BadUSB in der jüngeren Vergangenheit oder auch die Methoden, Cisco-Geräte hardwareseitig zu manipulieren, sollten klar werden lassen, dass diese tiefe Ebene bei sicherheitstechnischen Betrachtungen bisher nicht allzu stark beleuchtet wurde. Und eine Festplatte - darüber sollte man sich klar sein - ist heute weit intelligenter als in früheren Zeiten, was nicht nur das gewollte Manipulieren von Daten (denn nichts anderes ist bspw. die hardwarebasierte Verschlüsselung des Inhalts) beinhaltet, sondern u.U. auch Dinge, die vom Hersteller so gar nicht vorgesehen sind.

 

[goetz]

Hallo,

Lan1-3 bilden einen Bond und zeigen nach innen, Lan-4 zeigt Richtung WAN. LAN-4 ist auch der der sendet.

dann beim tcpdump eth0 gegen eth3 tauschen.

Gruß Götz

 

[hilton_syn]

Zur Info an die, die meinen, dass hier erst irgendeine Intialisierung ablaufen würde und diese sie dann vor etwas bewahren würde:

- NAS bezieht seine Zeit vom NTP Server des Routers
- Das NAS meldet um 9:52 USV plugged in und um 9:54 system started to boot up.
- Um 9:54 sendet das NAS mit der internen IP als Absender das erste ungültige Datenpaket.
- admin loggt sich um 9:58 ein
- der admin startet um 10:00 die Initialisierung des Laufwerks > manuell

Also das Paket wurde gesendet BEVOR das Laufwerk initialisiert wurde und die Initialisierung startet nicht irgendwie automatisch. Nach Tausch wird das Laufwerk als fehlerhaft angezeigt. Die Initialisierung startet man dann manuell vom DSM aus.

 

[hilton_syn]

@Götz so, mit eth3 hat das scheinbar geklappt es kam ein ">" und nun?

 

[hilton_syn]

Habe in der Zwischenzeit an die Dame von der Uni Michigan geschrieben, dass sie das wie angeboten abstellen sollen. Mal sehen ob's was hilft.

Von WD hat sich ein Manager gemeldet, der war sehr interessiert und die melden sich morgen.

Synology hat noch nichts dazu gesagt.

 

[tschortsch]

Lieber Tschortsch,

ich denke Du bist nicht ganz auf dem neuesten Stand was die Möglichkeiten und Funktionsweisen von Malware angeht. Was den Prozessor angeht, hier arbeitet eine RS814+ mit Intel Atom.

Und was die Frage des Hardwareabfangens angeht zum Zwecke der Manipulation lies doch zB mal hier http://www.zdnet.de/88192976/bericht-nsa-stattet-den-usa-hergestellte-hardware-mit-hintertueren-aus/ war übrigens auch Thema im NSA Untersuchungsausschuss, nachzulesen bei Netzpolitik.org.

Schönen Tag noch

PS ein Tor wer glaubt das das Märchen sind http://www.sueddeutsche.de/digital/...schen-tor-nutzer-ausspioniert-haben-1.2029100

Hallo hilton_syn
da bin ich jetz eindeutig eines bessern belehrt worden.
Ich dachte bei deinem ersten Beitrag ging es um Software die offensichtlich für jeden im Datenbereich der HDD ist.
Das diese in der Firmware, Hardware und/oder auf versteckten/nichtbeschreibbaren Sektoren der HD ist und dann auch noch nachhause telefoniert ist mir neu. Bisher hab ich nur von USB-Stick die sich zusätzlich als Keyboard oder ähnliches ausgeben gehört.

Dass dies dann überhaupt möglich ist von da aus Daten ins internet zu schicken muss offensichtlich ein zusammenspiel aus HD, Motherboard, NIC und Prozessor sein und allesamt irgendwie kompromitiert.
Gute nacht wenn das so weiter geht...

Das mit dem TOR-Netzwerk war mir offensichtlich - wer was zu verbergen hat is im prinzip sowieso verdächtig in deren Augen...

Macht die DS die Initialisierung nicht soweit automatisch das sie bei einbau einer HD ungefragt die Systempartition erstellt?

Entschuldige nochmals falls mein "Ton" ruppig rübergekommen ist. Jetzt bin ich ein Stück schlauer und die Paranoia wird immer mehr