Verschlüsselungstrojaner

[NSFH]

Eine Sinnlosdiskussion, wenn es um Viren wie Emotet geht. Hat man die Backdoor durch Öffnen einer verseuchten Mail geöffnet ist der Kuchen gegessen. Die eigentliche Schadsoftware wird nach und nach auf das System geladen. Irgendwann nutzt man ein Admin-Passwort oder loggt sich als Admin ein. All das reicht um die Verschlüsselung und/oder den Datendiebstahl zu ermöglichen. Siehe der super dokumentierte Vorfall bei Heise. Neben der "normalen" Verseuchung des Systems erfolgte der Supergau erst, als sich der Nutzer mit einem Admin Account eingeloggt hatte.
Die Diskussion um Brute force ist bei Serversystemen nahezu obsolet, die Arbeit macht sich keiner mehr, da der Faktor Mensch der versager ist, nicht die Technik. Bei Mailservern sieht das schon anders aus.
Wer also nicht laufend auf wechselnde Datenträger Backups zieht oder einen gesichertes Backupserver nutzt läuft Gefahr seinen gesamten Datenbestand zu verlieren, egal was ihr euch hier ausdenkt.

 

[Puppetmaster]

Grundsätzlich auch mein Gedanke. Eine vollkommene Sicherheit kann ich nur mit exponentiell steigendem Aufwand (und Wissen!) allenfalls asymptotisch erreichen. Da dies den meisten Anwendern aus den verschiedensten Gründen aber schon nicht möglich ist, bzw. mindestens nicht im Fokus, sollte die Energie imho vorrangig in die Erstellung guter Backups investiert werden.
Ich würde auch keinem Rechner oder Netzwerk mehr vertrauen, wenn es einmal durchwurmt wurde und es wohl oder übel komplett neu einrichten.
Das sagt sich jetzt vielleicht einfach, ist aber in der Praxis sicherlich je nach dem auch sehr aufwändig. Aber allemal besser, als die große Ungewissheit zu haben, ob wirklich alle Schadsoftware beseitigt wurde.
Mehr kann man eigentlich nicht tun. Klar, gesunder Menschenverstand und der tragbare Verzicht auf die ein oder andere Bequemlichkeit können einen grundsätzlich schützen, sicher ist man jedoch nie.
Be prepared, sei ein Prepper, und schaffe neben dem Atomschutzbunker auch ein gutes Backup (in mehreren Instanzen und Ausführungen).

 

[Thonav]

+1

 

[LutzHase]

Ich habe ein Ticket eröffnet und Warte...

Das mit dem Admin ist echt so eine Sache. Ich hab den immer abgeschaltet, weil ich auch denke das es 33% sind.
Das geht übrigens bei namhaften Firewall Herstellern gar nicht, also kann es vieleicht nicht so Entscheident sein.

33% deswegen weil ich jetzt für alles 2 Faktor eingerichtet habe. Also selbst mit Benutzer und Passwort braucht man meine Nummer und den Pin...
Und natürlich habe ich einen weiteren Benutzer für meine Laufwerke erstellt.
2 Faktor müsste man in Zukunft noch auf zwei Geräte erweitern, wenn man sein Handy mal nicht hat (vergessen, verloren...).

Rechner platt machen ist klar.

Ich hatte ja noch fast alle Daten auf meinem Rechner, das Backup mache ich außerhalb. Also LinuxLive Stick und nur Daten kopieren die man kennt, nicht klonen

Es kommt noch eine weitere Firewall Lösung dazu und die NAS darf nur im internen Netzt agieren.
Das ganze ist trotzdem so eine Sache, es macht alles etwas unhandlich.

Sicherungskonzepte gibt es viele, wenn man nur intern bleiben kann wird es schwieriger.
Mein Gedanke: 2. Nas die nur Backups zieht, damit die 1. Nas davon nichts weiß, dann dort Offline Backups erzeugen.

 

[Michael336]

Hi,
gab ja mal zu früheren Zeiten das Problem, dass sich Viren im Speicher ablegten und bei einer Neuinstallation wieder aktiviert wurden.
Frage dahingehend wäre, ist das heute immer noch so?
Dann wäre ja ein Hardwaretausch nötig.
Nachdem meine W NAS damals ja betroffen war, hatte ich es vorgezogen, diese, bis auf die Platte, wegzuwerfen und nur die Platte einer radikalen Gesundungskur zu unterziehen.
Ich war mir nicht wirklich sicher, ob der Komplettreset und das Aufspielen einer neuen FW das Problem tatsächlich beseitigt hätte.

 

[the other]

Moinsen,
nachdem der Rauch hier wieder etwas verzogen ist, verlinke ich mal einen alten Beitrag von NSFH:
https://www.synology-forum.de/threa...-die-nas-daten-veraendern.109112/#post-883808
@NSFH wenn das (warum auch immer) mittlerweile nicht mehr zutreffen sollte, bitte gerne unbedingt sagen...

 

[blurrrr]

wenn das (warum auch immer) mittlerweile nicht mehr zutreffen sollte, bitte gerne unbedingt sagen...

Das hat nichts mit Aktualität zu tun, sondern beschreibt ein generelles "Konzept", was da heisst: Gib dem Backupziel keinen Zugang nach aussen (so das sich z.B. Schadsoftware nicht mit einem C&C-Server verbinden kann) und schränke alles soweit ein, dass nur noch offen ist, was wirklich benötigt wird. Frei nach dem Motto: "So wenig wie möglich, soviel wie nötig", von daher wird dieses Konzept vermutlich "nie" seine Gültigkeit verlieren

EDIT: Ergänzender Weise dazu müsste man noch sagen, dass aus Richtung Haupt-NAS grade mal das Hyperbackup erlaubt sein sollte und zwecks Administration auch nur DSM via HTTPS von einer Management-Kiste erreichbar sein sollte, denn mehr würde in diesem Szenario nicht benötigt.

EDIT2: An den Mod der den Beitrag hier grade abgeändert hat: Ich weiss zwar nichts von einem Vollzitat und hier stand (meines Erachtens nach auch keins drin), aber danke! ?

 

[the other]

Moinsen,
jupp, so habe ich als hobbykelleradmin das auch verstanden, daher danke für deine Bestätigung. Da der Tipp aber nicht von mir kommt und ich eben kein Professional wie du oder NSFH bin, wollte ich mich nicht zu weit mit potentiell gefährlichen Halbwissen aus dem Fenster hängen...

 

[blurrrr]

Ich glaube, weder NSFH, noch ich, möchten auf ein Podest gestellt werden... ? Zudem wird hier noch etliche andere geben, die ähnliche Qualifikationen mit sich bringen (und vllt auch einfach nur still mitlesen). Zudem kann man durchaus richtig fit in einem Bereich sein (z.B. SAP) - also ein "Professional" wie Du es nennst - aber in anderem Bereichen halt völlig versagen (Firewall z.B.). Ich kannte einen Menschen, der hat "ausschliesslich" das Thema Firewall behandelt. Wie er eine Summenformel in Excel bildet, hat er nicht gewusst (aber auch nicht gebraucht), von daher ist das mit dem "Professional" immer recht "relativ" zu sehen

Möglichst Sparsam mit Freigaben/Berechtigungen umzugehen ist kein "professional" Tip... Das kannst Du auch auf alles andere umlegen (und dann sind es wieder Selbstverständlichkeiten über die man auch als ganz normaler Mensch nicht wirklich nachdenken muss)... "Wenn Du das Auto abschliesst, mach auch die Fenster zu." oder "Wenn Du das Haus verlässt, schliesse zumindestens alle Fenster im Erdgeschoss.", etc. Hört sich komisch an, aber nicht nur in der IT sind massive Einschränkungen mitunter sicherheitstechnisch relevant, hat also niemand das Rat neu erfunden - es werden nur Dinge auf die IT übertragen, die es auch schon weit vor der IT gab ? Gefährliches Halbwissen sind da eher andere Dinge, wie "Mach doch UPnP an, dann geht das alles von ganz alleine!" ?

 

[Synchrotron]

Zum Thema Admin-Kennwort: Eine Methode, um einen Admin zur Eingabe seines Passworts zu veranlassen, ist das Provozieren einer Störung durch den Trojaner. Zum Beispiel (das ist so tatsächlich passiert) eine Störung bei der Anbindung eines Druckers, auf dem erstbefallenen PC. Der einfache User kommt da nicht weiter - um die Druckerstörung zu beheben, benötigt man (mindestens) einen lokalen Admin. Die Zugangsdaten werden eingegeben, der Keylogger plottet ihn mit, bingo. Und der Drucker druckt wieder (man will ja niemanden misstrauisch machen).

Wenn jetzt die Zugangsdaten des Admins überall die gleichen sind (ja, sollte nicht sein ...), hat man zugleich die Zugangsdaten für den Netzwerkadmin, für den Serveradmin, für den Backup-Admin ...

 

[Michael336]

Richtig....

Das ist quasi alte Schule... die Tür vor der Tür.

 

[Jens H]

Ich lese hier seit einer Weile mit. Ist mittlerweile klar, wie es zu dem Befall gekommen ist? Da ich mir derzeit Gedanken mache, genau solche Probleme zu vermeiden, beunruhigt mich das schon etwas. Bei mir sind zwar so gut wie alle Ports zu, Zugriff von extern nur per OpenVPN, aber gestern habe ich festgestellt, dass offenbar seit der Einrichtung einer meiner Synologys noch Quickconnect aktiviert war und man - obwohl die 5000 und 5001 Ports am Router dicht waren, per Quickconnect zur Anmeldeseite kam. Habs natürlich sofort deaktiviert. Weiß jemand, über welchen Port Quickconnect die Verbindung aufbaut? Kann eigentlich nur htpp oder htpps sein. Trotzdem seltsam, weil es selbst lokal nicht über diese Ports läuft. Ist somit nicht auch Quickconnect eine potenzielle Lücke, wenn es aktiviert ist? Wenn ja, weshalb forciert das Synology so?

 

[Synchrotron]

QuickConnect läuft über Synology-Server. Ich vermute mal, dass es ohne eigenen Port auskommt (läuft über 443 ?). Es dürfte kein Brute-Forcing möglich sein, weil man nicht direkt an der DS ankommt. Bei entsprechendem Passwort sollte das sicher sein.

Wenn man alles dicht machen will, kann man es einfach deaktivieren. Andererseits ist es ein separater, unabhängiger Zugangsweg für den Fall, dass die anderen nicht funktionieren. Ich denke, das muss jeder für sich abwägen. Wer öfter für ein paar Tage unterwegs ist und trotzdem Zugriff benötigt, dem kann QC als Rückfallebene durchaus helfen.

 

[Synchrotron]

Zum Befall: Ob es sich in diesem Fall rekonstruieren lässt, weiß ich nicht. Der typische Weg sieht so aus:

Phishing-Mail, entweder mit einem Dateianhang (inzwischen oft verschlüsselte ZIP, um den Virenscanner zu umgehen) oder Link zu einer Webseite, von der Schadcode nachgeladen wird. Rechnung prüfen, Webseite gesperrt, Persönliche Daten fehlerhaft etc., es geht immer darum, dass ein Anhang oder eine unbekannte Seite geöffnet wird.

Bei den Mails mit Anhang ist auffällig, dass das PW oft in der gleichen Mail steht (was einem auffallen sollte). Nach Öffnung des ZIP findet sich oft eine Office-Datei, aktuell auch das steinalte sylk-Format (das unter Office auch Makros ausführen läßt). Wer sie öffnet, bekommt ja nach Einstellung von Office noch eine Abfrage, klickt er sie frei, werden die Makros ausgeführt - Erstinfektion.

Bei der Webseite: Der Schadcode wird in Fragmenten ausgeliefert (Virenscanner) und erst auf dem Zielrechner zusammen gesetzt. Dazu habe ich weniger Details gefunden.

Wenn der User mit einem Admin-Account angemeldet ist, ist es einfach: Der Rechner wird mit den Admin-Rechten übernommen. Es wird Schadcode nachgeladen, u.a. Keylogger für weitere Anmeldedaten, Virenscanner und Firewalls werden ausgehebelt, eine Verbindung zu einem Control-Server aufgebaut, Dateiübertragungs- und Verschlüsselungssoftware etc.

Ist der User ohne Admin-Rechte angemeldet, wird entweder gewartet, bis sich ein Admin anmeldet (Keylogger). Oder es wird eine Störung ausgelöst (Drucker geht nicht), für die sich ein Admin anmelden muss.

Mit Admin-Rechten geht es dann Richtung Netzwerk, und lokal weiter. Die Strategie sieht derzeit wohl so aus, dass zuerst Backups identifiziert und verschlüsselt werden, dann Netzwerkrechner, zuletzt der eigentlich befallene PC. Wenn lokal geeignete Verschlüsselungsmethoden z.B. für Backups und Laufwerke verfügbar sind, werden auch die benutzt, sonst die mit geladene Verschlüsselungssoftware. Um den Erpressungsdruck zu erhöhen, werden inzwischen auch Datenbestände abgezogen.

Das läuft alles im Hintergrund ab, meist über Powershell-Scripte. Erst wenn der Schaden bereits angerichtet ist, kommt die berühmt-berüchtigte Melden mit der Bitcoin-Forderung.

 

[Lextor]

Mich würde interessieren, ob das Backup in der C2 Cloud auch gefährdet ist?

 

[synfor]

Ist der User ohne Admin-Rechte angemeldet, wird entweder gewartet, bis sich ein Admin anmeldet (Keylogger). Oder es wird eine Störung ausgelöst (Drucker geht nicht), für die sich ein Admin anmelden muss.

Wie kommt ein Keylogger der nur über eingeschränkte Rechte verfügt (User-Konto kompromittiert) an das Admin-Passwort?

 

[LutzHase]

Antwort vom Support: Da kann man nichts machen...

Die Frage wie man an das Admin Passwort der NAS gelangt wäre interessant. In meinem Fall hatte ich die Netzlaufwerke mit dem Admin verbunden.
In der Server Umgebung nimmt man ja immer einen Service Account, aber gewisse Rechte braucht man da eben auch.
Ich bin eigentlich extrem vorsichtig, deswegen wundert mich die Situation etwas. Ich vermute da ein Türchen in der NAS...

Was viele machen ist Passwörter im Browser speichern.
Auch wenn es bequem ist, dass gehört absolut verboten. Auch wenn sich viele (Chrome) hinstellen und sagen es wäre sicher. Wenn es gespeichert wird ist es Mist, PUNKT.

 

[Puppetmaster]

Passwörter kann man schon speichern, wenn man sich der Tragweite im Falle der Veröffentlichung bewußt ist.
Auch Netzlaufwerke haben wohl die meisten über Credentials entweder aus der Domäne oder im Explorer gespeichert in Verwendung.
Wie gesagt, die Tragweite muss angesehen werden. Es ist doch völlig unverhältnismäßig, dass mit einem Adminzugang ein Netzlaufwerk gemappt wird! Wenn der Benutzer xy seine Zugansdaten für ein persönliches Laufwerk speichert, dann kannst du, wenn du dieses PW erlangst, relativ wenig damit anfangen, jedenfalls kommst du damit nicht auf den Rechner oder Server mit Adminrechten.

Ich finde es schon ein bisschen schräg an ein Hintertürchen im DSM zu denken, wenn man an anderer Stelle den Adminzugang gespeichert hat. Ob nun Browser oder im Explorer... Und selbst, wenn es nicht gespeichert vorliegt, sondern von dir jedes Mal händisch eingetippert wird: die Mechanismen dies auszulesen sind doch jetzt auch schon mehrfach dargelegt worden (keylogger etc.). Na klar, das Ganze ist perfide und gut durchdacht. Ein Admin sollte sich also mindestens immer 3x überlegen, ob er denn gerade auch Admin sein muss oder ob ein "normaler" User ausreicht.

 

[blurrrr]

Mit Sicherheit von den Netzlaufwerken, sowas ist nicht unüblich... Deswegen auch nur mit "Usern" verbinden und nicht mit dem Admin... wie es schon so schön heisst: Der Admin ist zum "administrieren" und nix anderes

EDIT: Finger weg von meiner Paranoia, die war mir immer lieb und teuer... ?

 

[peterhoffmann]

Antwort vom Support: Da kann man nichts machen...

Die Aussage erinnert mich an Fefe.

In meinem Fall hatte ich die Netzlaufwerke mit dem Admin verbunden.

Aus Faulheit hatte ich das früher auch gerne mal. Das ist natürlich ein Loch so groß wie ein Scheunentor, da die Angriffspunkte sich vervielfachen und über viele weitere Wege möglich sind.

Ich habe jetzt nicht den ganzen Thread gelesen, hoffe aber, dass du etwas retten konntest und in Zukunft es besser machst.