Verschlüsselungstrojaner

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Eine Sinnlosdiskussion, wenn es um Viren wie Emotet geht. Hat man die Backdoor durch Öffnen einer verseuchten Mail geöffnet ist der Kuchen gegessen. Die eigentliche Schadsoftware wird nach und nach auf das System geladen. Irgendwann nutzt man ein Admin-Passwort oder loggt sich als Admin ein. All das reicht um die Verschlüsselung und/oder den Datendiebstahl zu ermöglichen. Siehe der super dokumentierte Vorfall bei Heise. Neben der "normalen" Verseuchung des Systems erfolgte der Supergau erst, als sich der Nutzer mit einem Admin Account eingeloggt hatte.
Die Diskussion um Brute force ist bei Serversystemen nahezu obsolet, die Arbeit macht sich keiner mehr, da der Faktor Mensch der versager ist, nicht die Technik. Bei Mailservern sieht das schon anders aus.
Wer also nicht laufend auf wechselnde Datenträger Backups zieht oder einen gesichertes Backupserver nutzt läuft Gefahr seinen gesamten Datenbestand zu verlieren, egal was ihr euch hier ausdenkt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Grundsätzlich auch mein Gedanke. Eine vollkommene Sicherheit kann ich nur mit exponentiell steigendem Aufwand (und Wissen!) allenfalls asymptotisch erreichen. Da dies den meisten Anwendern aus den verschiedensten Gründen aber schon nicht möglich ist, bzw. mindestens nicht im Fokus, sollte die Energie imho vorrangig in die Erstellung guter Backups investiert werden.
Ich würde auch keinem Rechner oder Netzwerk mehr vertrauen, wenn es einmal durchwurmt wurde und es wohl oder übel komplett neu einrichten.
Das sagt sich jetzt vielleicht einfach, ist aber in der Praxis sicherlich je nach dem auch sehr aufwändig. Aber allemal besser, als die große Ungewissheit zu haben, ob wirklich alle Schadsoftware beseitigt wurde.
Mehr kann man eigentlich nicht tun. Klar, gesunder Menschenverstand und der tragbare Verzicht auf die ein oder andere Bequemlichkeit können einen grundsätzlich schützen, sicher ist man jedoch nie.
Be prepared, sei ein Prepper, und schaffe neben dem Atomschutzbunker auch ein gutes Backup (in mehreren Instanzen und Ausführungen). ;)
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
+1
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Ich habe ein Ticket eröffnet und Warte...

Das mit dem Admin ist echt so eine Sache. Ich hab den immer abgeschaltet, weil ich auch denke das es 33% sind.
Das geht übrigens bei namhaften Firewall Herstellern gar nicht, also kann es vieleicht nicht so Entscheident sein.

33% deswegen weil ich jetzt für alles 2 Faktor eingerichtet habe. Also selbst mit Benutzer und Passwort braucht man meine Nummer und den Pin...
Und natürlich habe ich einen weiteren Benutzer für meine Laufwerke erstellt.
2 Faktor müsste man in Zukunft noch auf zwei Geräte erweitern, wenn man sein Handy mal nicht hat (vergessen, verloren...).

Rechner platt machen ist klar.

Ich hatte ja noch fast alle Daten auf meinem Rechner, das Backup mache ich außerhalb. Also LinuxLive Stick und nur Daten kopieren die man kennt, nicht klonen ;)

Es kommt noch eine weitere Firewall Lösung dazu und die NAS darf nur im internen Netzt agieren.
Das ganze ist trotzdem so eine Sache, es macht alles etwas unhandlich.

Sicherungskonzepte gibt es viele, wenn man nur intern bleiben kann wird es schwieriger.
Mein Gedanke: 2. Nas die nur Backups zieht, damit die 1. Nas davon nichts weiß, dann dort Offline Backups erzeugen.
 
  • Like
Reaktionen: blurrrr

Michael336

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
179
Punkte für Reaktionen
46
Punkte
28
Hi,
gab ja mal zu früheren Zeiten das Problem, dass sich Viren im Speicher ablegten und bei einer Neuinstallation wieder aktiviert wurden.
Frage dahingehend wäre, ist das heute immer noch so?
Dann wäre ja ein Hardwaretausch nötig.
Nachdem meine W NAS damals ja betroffen war, hatte ich es vorgezogen, diese, bis auf die Platte, wegzuwerfen und nur die Platte einer radikalen Gesundungskur zu unterziehen.
Ich war mir nicht wirklich sicher, ob der Komplettreset und das Aufspielen einer neuen FW das Problem tatsächlich beseitigt hätte.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
wenn das (warum auch immer) mittlerweile nicht mehr zutreffen sollte, bitte gerne unbedingt sagen...
Das hat nichts mit Aktualität zu tun, sondern beschreibt ein generelles "Konzept", was da heisst: Gib dem Backupziel keinen Zugang nach aussen (so das sich z.B. Schadsoftware nicht mit einem C&C-Server verbinden kann) und schränke alles soweit ein, dass nur noch offen ist, was wirklich benötigt wird. Frei nach dem Motto: "So wenig wie möglich, soviel wie nötig", von daher wird dieses Konzept vermutlich "nie" seine Gültigkeit verlieren :)

EDIT: Ergänzender Weise dazu müsste man noch sagen, dass aus Richtung Haupt-NAS grade mal das Hyperbackup erlaubt sein sollte und zwecks Administration auch nur DSM via HTTPS von einer Management-Kiste erreichbar sein sollte, denn mehr würde in diesem Szenario nicht benötigt.

EDIT2: An den Mod der den Beitrag hier grade abgeändert hat: Ich weiss zwar nichts von einem Vollzitat und hier stand (meines Erachtens nach auch keins drin), aber danke! ?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
jupp, so habe ich als hobbykelleradmin das auch verstanden, daher danke für deine Bestätigung. Da der Tipp aber nicht von mir kommt und ich eben kein Professional wie du oder NSFH bin, wollte ich mich nicht zu weit mit potentiell gefährlichen Halbwissen aus dem Fenster hängen...
:)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ich glaube, weder NSFH, noch ich, möchten auf ein Podest gestellt werden... ? Zudem wird hier noch etliche andere geben, die ähnliche Qualifikationen mit sich bringen (und vllt auch einfach nur still mitlesen). Zudem kann man durchaus richtig fit in einem Bereich sein (z.B. SAP) - also ein "Professional" wie Du es nennst - aber in anderem Bereichen halt völlig versagen (Firewall z.B.). Ich kannte einen Menschen, der hat "ausschliesslich" das Thema Firewall behandelt. Wie er eine Summenformel in Excel bildet, hat er nicht gewusst (aber auch nicht gebraucht), von daher ist das mit dem "Professional" immer recht "relativ" zu sehen ;)

Möglichst Sparsam mit Freigaben/Berechtigungen umzugehen ist kein "professional" Tip... Das kannst Du auch auf alles andere umlegen (und dann sind es wieder Selbstverständlichkeiten über die man auch als ganz normaler Mensch nicht wirklich nachdenken muss)... "Wenn Du das Auto abschliesst, mach auch die Fenster zu." oder "Wenn Du das Haus verlässt, schliesse zumindestens alle Fenster im Erdgeschoss.", etc. Hört sich komisch an, aber nicht nur in der IT sind massive Einschränkungen mitunter sicherheitstechnisch relevant, hat also niemand das Rat neu erfunden - es werden nur Dinge auf die IT übertragen, die es auch schon weit vor der IT gab ? Gefährliches Halbwissen sind da eher andere Dinge, wie "Mach doch UPnP an, dann geht das alles von ganz alleine!" ?
 
  • Like
Reaktionen: Michael336

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Zum Thema Admin-Kennwort: Eine Methode, um einen Admin zur Eingabe seines Passworts zu veranlassen, ist das Provozieren einer Störung durch den Trojaner. Zum Beispiel (das ist so tatsächlich passiert) eine Störung bei der Anbindung eines Druckers, auf dem erstbefallenen PC. Der einfache User kommt da nicht weiter - um die Druckerstörung zu beheben, benötigt man (mindestens) einen lokalen Admin. Die Zugangsdaten werden eingegeben, der Keylogger plottet ihn mit, bingo. Und der Drucker druckt wieder (man will ja niemanden misstrauisch machen).

Wenn jetzt die Zugangsdaten des Admins überall die gleichen sind (ja, sollte nicht sein ...), hat man zugleich die Zugangsdaten für den Netzwerkadmin, für den Serveradmin, für den Backup-Admin ...
 

Michael336

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
179
Punkte für Reaktionen
46
Punkte
28
Richtig....

Das ist quasi alte Schule... die Tür vor der Tür.
 

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Ich lese hier seit einer Weile mit. Ist mittlerweile klar, wie es zu dem Befall gekommen ist? Da ich mir derzeit Gedanken mache, genau solche Probleme zu vermeiden, beunruhigt mich das schon etwas. Bei mir sind zwar so gut wie alle Ports zu, Zugriff von extern nur per OpenVPN, aber gestern habe ich festgestellt, dass offenbar seit der Einrichtung einer meiner Synologys noch Quickconnect aktiviert war und man - obwohl die 5000 und 5001 Ports am Router dicht waren, per Quickconnect zur Anmeldeseite kam. Habs natürlich sofort deaktiviert. Weiß jemand, über welchen Port Quickconnect die Verbindung aufbaut? Kann eigentlich nur htpp oder htpps sein. Trotzdem seltsam, weil es selbst lokal nicht über diese Ports läuft. Ist somit nicht auch Quickconnect eine potenzielle Lücke, wenn es aktiviert ist? Wenn ja, weshalb forciert das Synology so?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
QuickConnect läuft über Synology-Server. Ich vermute mal, dass es ohne eigenen Port auskommt (läuft über 443 ?). Es dürfte kein Brute-Forcing möglich sein, weil man nicht direkt an der DS ankommt. Bei entsprechendem Passwort sollte das sicher sein.

Wenn man alles dicht machen will, kann man es einfach deaktivieren. Andererseits ist es ein separater, unabhängiger Zugangsweg für den Fall, dass die anderen nicht funktionieren. Ich denke, das muss jeder für sich abwägen. Wer öfter für ein paar Tage unterwegs ist und trotzdem Zugriff benötigt, dem kann QC als Rückfallebene durchaus helfen.
 
  • Like
Reaktionen: Jens H

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Zum Befall: Ob es sich in diesem Fall rekonstruieren lässt, weiß ich nicht. Der typische Weg sieht so aus:

Phishing-Mail, entweder mit einem Dateianhang (inzwischen oft verschlüsselte ZIP, um den Virenscanner zu umgehen) oder Link zu einer Webseite, von der Schadcode nachgeladen wird. Rechnung prüfen, Webseite gesperrt, Persönliche Daten fehlerhaft etc., es geht immer darum, dass ein Anhang oder eine unbekannte Seite geöffnet wird.

Bei den Mails mit Anhang ist auffällig, dass das PW oft in der gleichen Mail steht (was einem auffallen sollte). Nach Öffnung des ZIP findet sich oft eine Office-Datei, aktuell auch das steinalte sylk-Format (das unter Office auch Makros ausführen läßt). Wer sie öffnet, bekommt ja nach Einstellung von Office noch eine Abfrage, klickt er sie frei, werden die Makros ausgeführt - Erstinfektion.

Bei der Webseite: Der Schadcode wird in Fragmenten ausgeliefert (Virenscanner) und erst auf dem Zielrechner zusammen gesetzt. Dazu habe ich weniger Details gefunden.

Wenn der User mit einem Admin-Account angemeldet ist, ist es einfach: Der Rechner wird mit den Admin-Rechten übernommen. Es wird Schadcode nachgeladen, u.a. Keylogger für weitere Anmeldedaten, Virenscanner und Firewalls werden ausgehebelt, eine Verbindung zu einem Control-Server aufgebaut, Dateiübertragungs- und Verschlüsselungssoftware etc.

Ist der User ohne Admin-Rechte angemeldet, wird entweder gewartet, bis sich ein Admin anmeldet (Keylogger). Oder es wird eine Störung ausgelöst (Drucker geht nicht), für die sich ein Admin anmelden muss.

Mit Admin-Rechten geht es dann Richtung Netzwerk, und lokal weiter. Die Strategie sieht derzeit wohl so aus, dass zuerst Backups identifiziert und verschlüsselt werden, dann Netzwerkrechner, zuletzt der eigentlich befallene PC. Wenn lokal geeignete Verschlüsselungsmethoden z.B. für Backups und Laufwerke verfügbar sind, werden auch die benutzt, sonst die mit geladene Verschlüsselungssoftware. Um den Erpressungsdruck zu erhöhen, werden inzwischen auch Datenbestände abgezogen.

Das läuft alles im Hintergrund ab, meist über Powershell-Scripte. Erst wenn der Schaden bereits angerichtet ist, kommt die berühmt-berüchtigte Melden mit der Bitcoin-Forderung.
 
  • Like
Reaktionen: Jens H

Lextor

Benutzer
Mitglied seit
12. Aug 2020
Beiträge
554
Punkte für Reaktionen
73
Punkte
54
Mich würde interessieren, ob das Backup in der C2 Cloud auch gefährdet ist?
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.029
Punkte für Reaktionen
1.614
Punkte
308
Ist der User ohne Admin-Rechte angemeldet, wird entweder gewartet, bis sich ein Admin anmeldet (Keylogger). Oder es wird eine Störung ausgelöst (Drucker geht nicht), für die sich ein Admin anmelden muss.
Wie kommt ein Keylogger der nur über eingeschränkte Rechte verfügt (User-Konto kompromittiert) an das Admin-Passwort?
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Antwort vom Support: Da kann man nichts machen...

Die Frage wie man an das Admin Passwort der NAS gelangt wäre interessant. In meinem Fall hatte ich die Netzlaufwerke mit dem Admin verbunden.
In der Server Umgebung nimmt man ja immer einen Service Account, aber gewisse Rechte braucht man da eben auch.
Ich bin eigentlich extrem vorsichtig, deswegen wundert mich die Situation etwas. Ich vermute da ein Türchen in der NAS...

Was viele machen ist Passwörter im Browser speichern.
Auch wenn es bequem ist, dass gehört absolut verboten. Auch wenn sich viele (Chrome) hinstellen und sagen es wäre sicher. Wenn es gespeichert wird ist es Mist, PUNKT. ;)
 
  • Like
Reaktionen: Synchrotron

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Passwörter kann man schon speichern, wenn man sich der Tragweite im Falle der Veröffentlichung bewußt ist.
Auch Netzlaufwerke haben wohl die meisten über Credentials entweder aus der Domäne oder im Explorer gespeichert in Verwendung.
Wie gesagt, die Tragweite muss angesehen werden. Es ist doch völlig unverhältnismäßig, dass mit einem Adminzugang ein Netzlaufwerk gemappt wird! Wenn der Benutzer xy seine Zugansdaten für ein persönliches Laufwerk speichert, dann kannst du, wenn du dieses PW erlangst, relativ wenig damit anfangen, jedenfalls kommst du damit nicht auf den Rechner oder Server mit Adminrechten.

Ich finde es schon ein bisschen schräg an ein Hintertürchen im DSM zu denken, wenn man an anderer Stelle den Adminzugang gespeichert hat. Ob nun Browser oder im Explorer... Und selbst, wenn es nicht gespeichert vorliegt, sondern von dir jedes Mal händisch eingetippert wird: die Mechanismen dies auszulesen sind doch jetzt auch schon mehrfach dargelegt worden (keylogger etc.). Na klar, das Ganze ist perfide und gut durchdacht. Ein Admin sollte sich also mindestens immer 3x überlegen, ob er denn gerade auch Admin sein muss oder ob ein "normaler" User ausreicht.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Mit Sicherheit von den Netzlaufwerken, sowas ist nicht unüblich... Deswegen auch nur mit "Usern" verbinden und nicht mit dem Admin... wie es schon so schön heisst: Der Admin ist zum "administrieren" und nix anderes :D

EDIT: Finger weg von meiner Paranoia, die war mir immer lieb und teuer... ?
 
Zuletzt bearbeitet:
  • Like
Reaktionen: peterhoffmann

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Antwort vom Support: Da kann man nichts machen...
Die Aussage erinnert mich an Fefe.

In meinem Fall hatte ich die Netzlaufwerke mit dem Admin verbunden.
Aus Faulheit hatte ich das früher auch gerne mal. Das ist natürlich ein Loch so groß wie ein Scheunentor, da die Angriffspunkte sich vervielfachen und über viele weitere Wege möglich sind.

Ich habe jetzt nicht den ganzen Thread gelesen, hoffe aber, dass du etwas retten konntest und in Zukunft es besser machst.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat