Verschlüsselungstrojaner

[Synchrotron]

Wie kommt ein Keylogger der nur über eingeschränkte Rechte verfügt (User-Konto kompromittiert) an das Admin-Passwort?

Der Keylogger plottet alles mit, was auf dem PC eingegeben wird. Alles, nicht nur Anmeldungen. Aus dem Datenstrom werden dann mögliche Anmeldedaten herausgezogen. So wie ich es verstehe, wird der Keylogger systemweit ausgeführt (UEFI-Level ?). Er schiebt sich zwischen die Eingabe-Schnittstelle und das OS. Man darf nicht vergessen: Selbst wenn da ein geübter Schreiber den ganzen Tag in die Tasten haut, ist die entstehende Datenmenge klein verglichen mit heutigen Möglichkeiten.

Eine andere Komponente macht Screenshots. Das ist alles in dem Bauchladen an Schadprogrammen, die nach der Erstinfektion geladen werden.

Erst mal wird alles lokal gespeichert, später an den Control-Server übertragen. Dort wird ausgewertet und ein Programm mit dem eigentlichen Exploit zurück gesendet, das dann auch die Anmeldedaten enthält, die vorher abgegriffen wurden. Wie gesagt, das ist mein Verständnis des Ablaufs.

 

[Synchrotron]

Mit Sicherheit von den Netzlaufwerken, sowas ist nicht unüblich... Deswegen auch nur mit "Usern" verbinden und nicht mit dem Admin... wie es schon so schön heisst: Der Admin ist zum "administrieren" und nix anderes

EDIT: Finger weg von meiner Paranoia, die war mir immer lieb und teuer... ?

Zu den Admins: Bei heise gab es bekanntlich auch einen Emotet-Befall. Die haben das unter erheblichen Schmerzen (u.a. Austausch von viel Hardware) eingefangen und gestoppt. Inzwischen vermarkten sie ihre Expertise, zum Teil nur gegen Bezahlung.

Was in den öffentlich zugänglichen Informationen enthalten war war die Empfehlung, für JEDEN Admin-Zugang eigene Anmeldedaten zu verwenden. Also für die lokalen Admins, die mal etwas an PCs richten, andere als für die Netzwerkadmins, und wieder andere für Server und Backups, Firewalls etc. Die hatten bei heise wohl das Problem, dass bei der Erstinfektion ein lokaler Admin gerufen wurde, dessen Zugangsdaten aber zugleich für Netzwerk und Server genutzt wurden. Das war für die Angreifer natürlich ein Jackpot !

Für die Synology würde ich ergänzen, eigene Anmeldedaten plus 2FA für die Admins einrichten.

Es gibt m.E. keinen Grund, Netzwerkfreigaben o.ä. mit Adminrechten einzutragen. Man kann normale User anlegen, die ggf. etwas erweiterte Rechte bekommen, um bestimmte Ordner verwenden zu dürfen. Oder man nutzt Drive, bei dem die Ordnerstruktur incl. der gemeinsamen Ordner vom System eingerichtet wird.

Die Zugangsdaten der Admins würde ich in einem PW-Manger hinterlegen, nicht im Browser oder Explorer. Selbst wenn ein Keylogger Admin-Logins abgreift, ist im Fall der Synology immer noch die 2FA als Bremse da.

 

[blurrrr]

Nice... Da muss man schon schwer... korrigiere: "schwerst" bescheuert sein (tschulli für die unblumige Formulierung, wer sich angesprochen fühlt, bitte einfach weggucken ), wenn man für alles die gleichen Logins nutzt. Lokale Admins haben ja durchaus ihre Berechtigung, aber niemals das gleiche Passwort wie andere Admin-Accounts... und das bei so einer Bude wie heise.de... ? Wenn man sich solche Vorfälle mal genauer anschaut (auch die der noch größeren Butzen)... es sind leider öfters mal genau solche Kleinigkeiten... Ebenso kommen mir heutzutage noch immer Passwortlisten in Word/Excel unter, genau wie unter den Notizen (oder gar als Mail...).

 

[Synchrotron]

Wer noch etwas zusätzliches tun möchte, um Angriffe auf sein Netzwerk zu bemerken: Es gibt die Software Opencanary, die z.B. auf einem einfachen Raspi ausgeführt werden kann.

https://github.com/thinkst/opencanary
Opencanary funktioniert so: Einmal installiert tritt sie im Netzwerk als (schlecht gesicherter) Server auf. Weil der Server keine Funktion hat, muss sich dort nie jemand anmelden. Wer sich dort anmeldet, löst eine Benachrichtigung aus. In der Benachrichtigung wird die lokale IP genannt, von der der Anmeldeversuch ausgeführt wurde. Damit weiß man auch, wo man Schadsoftware vermuten muß.

Das ist ein netter kleiner Honeypot, der für einen Hunderter zu haben ist, und sich meldet, wenn jemand im lokalen Netzwerk unterwegs ist, der dort nichts verloren hat. Für professionelle Anwender würde ich es nicht empfehlen (schon weil es aktuell ver. 0.4 ist), aber für ambitionierte Hobbyadmins ein schönes Projekt.

 

[Synchrotron]

Nice... Da muss man schon schwer... korrigiere: "schwerst" bescheuert sein (tschulli für die unblumige Formulierung, wer sich angesprochen fühlt, bitte einfach weggucken ), wenn man für alles die gleichen Logins nutzt.

Die Kommentare lasen sich so ähnlich, als heise offen gelegt hat, wie es abgelaufen sein muss.

Aber wie heißt es so schön: Die schlechtesten Schuhe trägt immer der Schuster. Ich fand es im positiven Sinn bemerkenswert, dass heise offen gelegt hat, welche handwerklichen Lücken es den Angreifern ermöglicht haben, tief ins Netzwerk einzudringen. Das passierte schon, als der Angriff noch lief. Inzwischen vermarkten sie dieses Wissen aktiv.

Nachdem sich diese Verschlüsselungspest offenbar nicht eindämmen lässt (u.a. weil wohl zu großen Teilen staatliche oder staatlich gedeckte Hackergruppen dahinter stehen), sollten wir uns alle damit beschäftigen, wie wir unsere eigenen Netzwerke so härten, dass sie keine weichen Ziele mehr sind.

Zum Glück sind Synology DSen offenbar ganz gut zu sichern, jedenfalls ist im Gegensatz zu QNAP bis heute kein im DSM verankerter Exploit bekannt. Damit kann der Heim-Admin die Kiste selbst ganz gut verriegeln, ohne dass zugleich die Nutzung unmöglich würde.

 

[synfor]

Der Keylogger plottet alles mit, was auf dem PC eingegeben wird. Alles, nicht nur Anmeldungen. Aus dem Datenstrom werden dann mögliche Anmeldedaten herausgezogen. So wie ich es verstehe, wird der Keylogger systemweit ausgeführt (UEFI-Level ?). Er schiebt sich zwischen die Eingabe-Schnittstelle und das OS. Man darf nicht vergessen: Selbst wenn da ein geübter Schreiber den ganzen Tag in die Tasten haut, ist die entstehende Datenmenge klein verglichen mit heutigen Möglichkeiten.

Wenn der Keylogger systemweit tätig wird, dann hatte der ausführende User zu viel Rechte, er war also gar nicht eingeschränkt, oder es gab weitere Sicherheitslücken, die eine Rechteausweitung ermöglichten.

 

[Synchrotron]

Wenn der Keylogger systemweit tätig wird, dann hatte der ausführende User zu viel Rechte, er war also gar nicht eingeschränkt, oder es gab weitere Sicherheitslücken, die eine Rechteausweitung ermöglichten.

Man nennt es Windows ...

Die Schadsoftware nutzt sicherlich auch Systemlücken aus, die wird nicht nur die vorhandenen Benutzerrechte verwenden, um sich erst mal lokal einzugraben. Auf wie vielen Rechnern ist die UEFI-Ebene tatsächlich durch Passwort geschützt ? Wo sind alle Patches tatsächlich eingespielt ? Alle Treiber aktuell, die gesamte Anwendungssoftware ?

Ich kenne es aus dem Unternehmensumfeld eher so, dass Updates übersprungen werden, entweder weil der Rollout mühsam ist (der BR fordert eine Mitarbeiterschulung, der GF hat seine Lieblingssoftware, die jedes Mal händisch neu installiert werden muß, von 5 geplanten Adminstellen sind 3 aktuell nicht besetzt etc.) oder man sich auf seine Firewalls verlässt. Und wo sind tatsächlich ALLE im Netz befindlichen Geräte aktuell, incl. den Routern, den Switchen, den Backupservern ? Neue Firmware einspielen ist oft nur händisch möglich, und ganz schön nervig, vor allem im laufenden Betrieb.

Wir sollten nicht so tun, wie wenn nur eine kleine Randgruppe liederlicher IT-Ignoranten von dem Thema betroffen wären.

 

[Speicherriese]

2012 schon...jut, muss ich verdrängt haben, bin nicht so der Apple-Fanboy (bitte um Verzeihung ).

Warum nicht? Ich hatte früher auch diese Windows Kisten bei mir, ständig irgendwelche Probleme und immer ein zittern wg. Virus/Trojaner und sonst. Kram, trotz gekauften Virenscanner. Windows ist für mich der absolute Supergau, was Sicherheit anbelangt. Ich bin dann vor ca. 10 Jahren komplett auf Mac umgestiegen und habe alles Windows Gedöns verkauft. Seitdem läuft alles absolut wunderbar, keine permanenten Updateorgien, kein Absturz, nix mit Viren/Trojaner, nix, O, Zerro, und ich kann wieder ruhig schlafen. Wieviel Millionen Viren/Tojaner gibts aktuell, die Windows befallen können? Apple scheint für Hacker absolut uninteressant zu sein und das ist auch gut so.

 

[weyon]

Naja, hat aber auch seinen Preis. Hardware doppelt so teuer, schwer bis gar nicht nachrüstbar und reparierbar. An die Apple Care Hotline will ich da mal nicht dran denken, da nicht hilfreich. Selbst bei Vodafone bekomme ich da mehr und schnellere Hilfe.
Hat alles Vor- und Nachteile. Grafiker arbeiten mit Mac, Büros mit Windows.

 

[the other]

Moinsen,
Und wieder andere nehmen einfach günstige Hardware und kostenloses Linux und bekommen dafür manchmal mehr...

 

[Synchrotron]

Nun ja, wichtig ist doch, dass es Alternativen gibt. Bei Windows kommen einfach 2 Dinge zusammen: Es ist bei der zahlungskräftigen (!) Zielgruppe für Malware am weitesten verbreitet, und es ist aufgrund seiner gewollten Rückwärts-Kompatibilität anfällig für alte Lücken.

Ganz aktuell wird das sylk - Dateiformat aus den 90ern genutzt, um Makrosperren zu umgehen. Sylk kann Makros mitführen, und die werden auch dann ausgeführt, wenn man es Office „an sich“ verboten hat.

Apple ist da rabiater: Vor 4 Jahren haben sie angekündigt, dass ab Catalina keine 32bit Apps mehr laufen werden. Bums, wer nicht umgestellt hat, der ist draußen. Vorteil ist, dass damit das System schlanker gehalten werden kann, weil man die alten „forks“ einfach raus schmeißt.

Daher ist es durchaus eine Strategie, bei sich privat auf Windows-PCs und Microsoft-Software möglichst weitgehend zu verzichten. Es gibt für Linuxe (die auf der gleichen Hardware laufen wie PCs) und Macs alles, was man benötigt, um „trotzdem“ arbeiten zu können. Wenn alle Stricke reißen, hilft eine Windows-Installation in einer VM weiter, die man nach der Programmausführung einfach wieder in die Versenkung schiebt.

Wenn man den Schritt macht, wenn eh neue Hardware ansteht, kann man den Aufwand reduzieren. Die DS betrifft es nicht, die arbeitet mit Linux und MacOS genauso gerne zusammen. Synology bietet auch viele Dienstprogramme OS-übergreifend an, da erfolgt die Umstellung ohne Zusatzkosten .

 

[Puppetmaster]

Ich hatte in 30 Jahren Windows keinen einzigen Virenbefall.(von dem ich wüsste )
Apple war nie eine Alternative für mich. Zugegeben, das Design ist top! Aber ist das wichtig?
An Apple geht mir ganz viel gegen den Strich. Von Natur aus bin ich Bastler, da geht bei Apple nix, alles zugebaut bis zum Anschlag. Dazu kommt, dass ich horrende Preise zahlen soll um in die Gemeinde aufgenommen zu werden und ein Junger zu sein. Ach nee, das ist nicht so meins.

Seit Windows 8 hat sich Linux bei mir breit gemacht. Es mangelt mir an nichts.

 

[Speicherriese]

Das ist genau die weit verbreitete Meinung. Zu teuer und zugenagelt. Zu teuer kann ich überhaupt nicht nachvollziehen. Mein IMac hat vor Jahren fast genauso viel gekostet wie ein ähnliches Modell aus der Windows Welt. Mein MAC Book Pro war auch nicht grad überteuert, wenn ich mir höherwertigen Windows Laptops anschaue, ( keine labrigen Plastik Kästen). Und das bemängelte "Zugebaute" finde ich absolut von Vorteil. Vile Probleme kommen doch grad eben von dem rumbgebastel. Der I-MAC z.B. bei mir läuft seit Jahren ( wird nur in Schlafmodus verssetzt und ist schwups dank SSD wieder da). Der weitere Vorteil von Apple, der Hersteller der HW ist auch Hersteller der Software, daher erheblich weniger Probleme. Und zum schluß noch was, wenn man einen Apple, sei es MAc Book oder IMAC nach Jahren wieder verkauft bekommt man sogar noch viel Geld dafür, Windows Kisten kannste nach Jahren in die Elektronik Schrottbox werfen. Das alles hat mich dazu bewegt komplett auf Apple umzusteigen. ( Hat nix mit irgendwelchen Jüngern Gedöns zu tun, sondern ich will damit arbeiten, sehe es als Werkzeug und nicht als Bastelkiste, wo man ständig wieder irgendwas rumschrauben muss, ob Software oder Hardware, sehr beruhigend) In der Firma haben sie jetzt auch so HP Slimline Laptops angeschafft, 1800Euro pro Stück ( Apple ist ja soooo teuer), die schauen sogar mit ihrem Alugehäuse so aus wie Macbooks, aber halt Windows und sehr wenige Anschlüsse, der Akku wird zu heiß, daher wird er Softwareseitig nur bis 75% geladen. Die Lachnummer.

 

[Puppetmaster]

Ja, aber ich habe/hatte nie die Probleme, die du mir jetzt andichtest. Ich hatte Mal einen iPod der 3. Generation und fühlte mich alleine damit schon sowas von eingeschränkt (kein Equalizer, keine editierbare Playlist, nur iTunes zum Syncen, ...). Einfach überhaupt nicht nicht meine Welt.
Thema Preis: wo ist das Apple Notebook für 500-800€?
Soviel hat vor 8 Jahren mein top ausgestatteter Windows 15" Laptop gekostet, der auch heute noch meinen Ansprüchen genügt (inzwischen unter Linux).

Aber das ist jetzt alles weit weg vom Thema und ich werde unter Garantie auch kein Apple Jünger mehr werden.

 

[weyon]

Oder der Pc für 600€. Nicht jeder kann sich für mind. 1000€ nen Pc kaufen. Der Mac Mini ist zwar schick, kostet aber knapp 1000€ und selbst was nachrüsten ist auch nicht.
Clever von Apple jetzt auf ARM zu wechseln, dann kann man nichts selber tauschen/aufrüsten/reparieren und Apple kann preislich verlangen was es will.
Aber wieder zurück zum eigendlichen Thema, dem Trojaner. Gibts da schon was neues?

 

[LutzHase]

Ich habe jetzt eine verringerte Forderung erhalten...
Was mich halt wundert ist das nur 80% der Ordner auf der nas verschlüsselt wurden. Am PC ist nichts...
Es hat sich also jemand auf der nas eingeloggt und händisch Ordner verschlüsselt. Und das geht über die gui oder über die shell. SSH hatte ich aus, auch wenn das unerheblich ist. Geht ja trotzdem...
Ich hab natürlich alle Platten aus dem PC raus und die nas aus.
Ich sammel meine Bilder ja auf dem PC, weil die Bearbeitung über Netzwerk etwas zu lange dauert.
Für dieses Sicherung werde ich es in Zukunft auch so machen das es die nas selbst abholt.
Das es am Mac oder Linux keine Schadsoftware gibt es Quatsch.
Am meisten bei Apple vermisse ich immer die entf Taste.
Wer aber mal eine richtig gute Linux distro testen will, dem kann ich MXLinux ans Herz legen. Gerade für Umsteiger optimal. Nehme ich gerne. Sonst halt ein Grund solides debian. Ist immer faszinierend was dort alles dabei ist.
Aber zum arbeiten muss ich windows nutzen, da ist alles kompatibel. Ich brauche eben Adobe und Office.
Aber ich möchte keine Grundsätze hier klären. Es soll doch jeder gerne nehmen was er möchte und kann.

 

[Michael336]

Hi,
oh, nur 80%?

Wäre mal interessant, ob das nur das Wichtigste war, oder wahllos irgendwas genommen wurde?
Wenn es Dich und andere interessiert, hier mal der vermutliche Ablauf:

Als ich damals betroffen war, hatte ich nur eine Verbindung nach außen über das MyF.... Konto der Firma mit den drei großen Buchstaben meiner Box. Das war schon mit einem anständigen Kennwort gesichert.
Auf dem NAS der Fa W war SSH zwar eingerichtet, jedoch mit einem anderen Kennwort.

Genutzt wurde SSH mit einer bekannten App für iOS.
Aufmerksam würde ich, als das Tool sagte, der Schlüssel sei geändert worden, da bin ich hellhörig geworden.

Ich hatte zwei Abende vorher jemandem mit einem, hinterher herausgefunden, verwanzten Android Telefon einen normalen wlan Zugang eingerichtet, aber leider nicht den Gastzugang verwendet.
Leider auch nicht die Zugriffsrechte eingeschränkt.

Auf dem NAS wurde ein anderer Root eingerichtet, der dann offenbar sämtliche Rechte übernommen hatte, aber meinen Root Zugriff nicht, oder für mich nicht einsehbar, manipuliert hat.

Das Löschen des neuen, fremden Root Users führte zum vollkommenen Datenverlust innerhalb von Sekunden.

Erstaunlicherweise konnte ich vor dem Löschen des Users noch zugreifen, hinterher war alles weg.

Wiederherstellung über eine Linux CD scheiterte, oder ich war zu blöd.

Ich hab keine Ahnung, wie das passieren konnte, vermute, dass das Handy irgendwo im Netz Infos über mein System mit meiner IP gepostet hat.

Hinterher stellte sich raus, dass offenbar eine hardgecodete Hintertür auf der NAS vorhanden war.

Der User mit dem Handy wurde offenbar vorher schon auf seinen beiden Laptops erpresst, kam dann raus.
Offenbar kann auch über Smartphones irgendwas eingeschleust, oder ausspioniert werden.

Eine vorherige Infektion meines Systems kann ich ausschliessen.

Trotzdem führte das auf meiner Seite zum Wegwurf der NAS und der Neuinstallation aller Rechner.
Vorher stromlos gemacht, RAM und Biosbatterien raus.

Zum Kotzen alles.

Seitdem gibt es keinen Zugriff mehr von Freunden aufs WLAN und keine Sticks mehr von denen.

Also, auch bizarre Zugriffe sind vorstellbar.
Von daher würde ich mir einen Zugriff von Außen überlegen und eher ne Cloud nehmen.
In der Hoffnung, das sowas da nicht passieren kann....

 

[the other]

Moinsen,
tja, manchmal reicht es auch schon, im Cafe zu sitzen und die jeweiligen Service-Credentials im öffentlichen WLAN einzutippen ohne, dass eine VPN Verbindung genutzt wird. Dann lesen ggf. die Kids am Nachbartisch mit und freuen sich auf extra Taschengeld...

 

[Speicherriese]

Sind wir doch mal ehrlich. Die wenigsten Menschen wissen doch gar nicht wie diese mittlerweile hochkomplexe Technik im Detail funktioniert. ( Mich eingeschlossen). Wenn dies jeder ganz genau verstehen würde, dann gäbe es auch viel viel weniger Datenlecks und Hackerangriffe. Aber es ist einfach viel zu komplex geworden. Daher gehe ich z.B. mit der Bruttalo Methode her und mache einfach überall "Schlösser" hin. So ähnlich, wie wenn ich nicht erkenne, wo Einbrecher in mein Haus einbrechen könnten, ziehe ich einen Burggraben um mein Haus, installiere einbruchsichere Fenster und Türen, schaffe mir einen Wachhund an, installiere überall Cams, und hoffe, das dies alles so funktioniert.

 

[ebusynsyn]

Daher gehe ich z.B. mit der Bruttalo Methode her und mache einfach überall "Schlösser" hin.

Gebe Dir recht, es ist wirklich komplex und was heute noch als "sicher" gilt, kann morgen schon eine offene Tür sein. Aber: Kann man es nicht auch übertreiben?

Beispiel: Ich bin mit meinem Wohnmobil öfters mal im europäischen Ausland auf Achse. Fotos zum Beispiel werden direkt auf das NAS geladen. Begründet damit, dass es ja sein könnte, dass ein böser Bube uns beklaut, ich ich den Fotoapparat verliere, oder er mir beim paddeln ins Wasser fällt etc. So ist meine DS halt von aussen offen, aber mit den gängigen "Schlössern" geschützt. Kaufquittungen, Belege von Campingplätzen/Stellplätzen etc. werden direkt via Handy gescannt und nach Hause geschickt - direkt in mein DMS (ecoDMS). Das ist für mich adäquater Nutzen eines NAS. Ich weiss, viele hier im Forum sehen das anders, riegeln das NAS gegen aussen ab. Aber ich hole mein Auto doch auch aus der Garage - im Wissen dass es geklaut werden kann. (Wobei mein alter Golf birgt da eher ein kleines Risiko.

Ich denke, sobald man einen Router einschaltet, egal welche Schutzmassnahmen dahinter aufgebaut sind, wenn der böse Bube rein will, wird er reinkommen. Die Frage ist halt, wie hoch der Aufwand ist. In meinen jungen Jahren arbeitete ich in einem Unternehmen das für Einbruchschutz die nötige Hardware (Schlösser, Alarmanlagen, Schliessanlagen, Verriegelungen etc.) für Banken, Versicherungen, Industriekomplexe angeboten hat. Ich habe 'Sachen' gesehen, die glaubt man nicht. Man kann es erschweren, nicht verhindern.

Für mich versuche ich ein Gratwanderung zwischen adäquatem Schutz und dem Nutzen heutiger Möglichkeiten - jetzt mal auf IT bezogen.

Klar, das birgt ein gewisses Risiko. Aber das Leben ist nie ohne Risiko. Um beim Auto zu bleiben. Ich glaube es passieren mehr Autounfälle, als dass die Daten von Privatpersonen geklaut werden. So gesehen dürfte keiner mehr ins Auto steigen.

Die so mal ein paar Gedanken an einem frühen Sonntagmorgen nach dem ersten Spaziergang mit dem Hund.

Einen schönen Sonntag allen, die hier mit lesen.

Wohnmobilisten untereinander wünschen sich gegenseitig immer mindestens eine Handbreite Abstand zwischen dem vorderen und nachfahrenden Fahrzeug. Euch mit Euren NAS ... und auch mir ... wünsche ich immer einen tick besseren Schutz, damit der Böse Bube der draußen vor dem Router steht aufgibt.