Verschlüsselungstrojaner

[Synchrotron]

In IoBroker gab es mehrere Schwachstellen. Wem die bekannt waren, der brauchte kein Passwort, der hatte einen Dietrich.

Dieses Problem gilt für alle Dienste, die von außen erreichbar sind: Wenn sie eine Schwachstelle haben, dann ist ein fettes Loch in der Firewall. Nach den FW-Regeln ist alles in Ordnung, nur läßt der geknackte Dienst jeden durch, der weiß wie. Also Ports dicht, so weit wie irgend möglich !

Beim VPN muß man eben nur einen Port (oder 2) offen haben, und nur diesen einen Dienst sicher einrichten und halten. Alles andere läuft darüber und ist von außen ohne den VPN-Zugang nicht erreichbar.

Die Lösung trägt für jeden, der nicht unbedingt Publikumsverkehr auf der DS benötigt.

Wer einen öffentlichen Zugang benötigt, der kann sich auch überlegen, einen (kleinen) Server in eine DMZ zu stellen, auf dem nur die Daten liegen, die von außen für jeden erreichbar sein müssen. Da reicht meistens eine kleine Syno, oder auch ein Raspi mit NextCloud. Oder man legt diese Dinge gleich in einen Clouddienst, warum nicht.

Empfehlen kann ich die magenta-Cloud: 10GB frei, und man kann dort schon in der freien Version Ordner freigeben, in die andere auch hochladen dürfen. Das ist bei den meisten Clouds den bezahlten Varianten vorbehalten.

 

[SAMU]

In IoBroker gab es mehrere Schwachstellen. Wem die bekannt waren, der brauchte kein Passwort, der hatte einen Dietrich.

Aber ist der Sinn von Docker nicht dass die Container darin voneinander getrennt sind? Also wie wenn ich IOBrocker auf einem eigenen physikalisch getrennten Server laufen lassen würde?
Weil dann hätte ich durch die Schwachstelle ja erst Zugriff auf IOBrocker und noch nicht auf das Admin-PW der Syno.

 

[Synchrotron]

Noch mal zum Passwort: Knack den offenen Dienst, lade einen kleinen Trojaner hoch, der Anmeldungen abfängt, und übernimm damit einen Admin-Account. Die Verschlüsselung wurde dann wohl mit den systemeigenen Diensten gemacht.

Die meisten Hacker, die so etwas „gewerblich“ machen, spezialisieren sich wohl auf eine bestimmte Konfiguration. Deren Schwachstellen kennen sie, und haben die nötige Software verfügbar, um sie auszunutzen.

Das ist inzwischen ein arbeitsteiliger Industriezweig, die Exploits und Tools werden gehandelt, und für bestimmte Arbeitsschritte werden Dienstleistungen angeboten wie anderswo Fenster putzen oder Fiffi ausführen.

 

[SAMU]

Schon klar dass die das gewerblich machen. Ich will allerdings verstehen "WIE" es in dem Fall ging.

Ich selbst habe auch HomeAssistant nach außen offen. Trotzdem sollte man - selbst wenn homeassistant kompromittiert ist - keinen Zugriff von da auf den Host haben welcher den Docker hostet und schon gar nicht das Passwort irgendwo im Klartext mitlesen können.

Selbst wenn ich mich in iobrocker / homeassistant oder was auch immer austobe, könnte ich zwar von da aus auf das komplette interne Netz zugreifen und dort ungeschützte Geräte übernehmen, trotzdem sollte ich nirgends das Passwort auslesen können.
Klar, ich könnte jetzt über SMB1 auf den PC zugreifen, dort im Tresor das NAS-Passwort auslesen und Jackpot. Trotzdem hätte der TE in diesem Fall jetzt noch eine offene Sicherheitlücke bei sich Zuhause. Nämlich SMB1 und das Passwort im Windows-Tresor, selbst wenn er jetzt iobrocker gesperrt hat.

Jeder Hostinganbieter im Netz hat einen Server auf dem dann virtualisiert x gehostete Maschinen laufen. Wenn da eine Maschine kompromittiert ist, darf das auch nicht übergreifen auf den Host. Sonst wäre ja einer der Gründe von Virtualisierung dahin.

 

[the other]

Moinsen,
und ganz aktuell dazu:
https://www.heise.de/news/c-t-deckt...trieanlagen-ungeschuetzt-im-Netz-4931739.html
Fazit: Router dicht machen, keine diversen PWL einrichten, UPnP aus, VPN einrichten...

 

[peterhoffmann]

Nach langem Warten konnte ich nun Bitcoin kaufen und diese senden.

Wenn ich fragen darf: Was hat es gekostet?

Und er kam über [...] iobroker rein.

Wie andere schon anmerkten, man muss kritisch hinterfragen, ob auf einem NAS, welches in allererster Linie für das Speichern von Daten da ist, viele andere Dienste laufen sollten. Es ist natürlich sehr verführerisch. Einerseits sind die NAS-Geräte, speziell aus der Plus-Serie recht potent und können mit bis zu 20GB RAM ausgerüstet werden, auch bietet Synology und andere Paketquellen sehr viele "Addons" an, die mit 1-Klick installiert werden können. Mailserver *klick*, Docker *klick*, ein Sack voll Container *klick* *klick* *klick*, Smarthome *klick*, usw.

Ich bin schon länger dazu übergegangen die meisten Dinge von meinem NAS "fernzuhalten". In meinem Netzwerk läuft dafür ein kleiner Raspberry Pi 4 mit 4GB RAM. Mit dem richtigen Gehäuse (iuniker) ist der absolut geräuschlos und tingelt bei 35°-40° rum. Darauf läuft sehr zuverlässig z.B. Pihole, iobroker, Cups, viele eigene Scripte, usw.

Das NAS (bei mir eine DS716+) langweilt sich eher zu Tode. Beim nächsten Neukauf eines NAS werde ich daher wieder zu einem schwächeren Modell greifen (z.B. DS2xx+). Ein Plus-Modell wird es wohl trotzdem wieder werden, aber dann reicht auch ein Dualcore dicke aus.

8081

Solche Leute scannen nach den üblichen Ports. Wenn überhaupt Ports offen sein müssen, ist meine Empfehlung die Ports im Router nach oben in den fünfstelligen Bereich zu verlagern. Also z.B. außen ist der Port 38726 offen und wird intern auf den Port 8081 geleitet. Der Port ist dadurch zwar immer noch offen, aber man muss ihn ja erst mal finden. Das Abscannen aller Ports ist zeitaufwändig und wird nur gemacht, wenn man es gezielt auf eine IP abgesehen hat. Beim Scannen von IP-Bereichen konzentriert man sich auf die Ports, die man als Hacker auch hacken kann.
Die bessere Variante ist natürlich den Port gar nicht herauszuführen, sondern z.B. per VPN den eigenen Zugriff zu gestalten.

ihn ins Forum einzuladen und aufzufordern uns Tipps und Tricks zu geben.

So schön dieser Gedanke ist, aber er wird sich ja nicht "seine Kundschaft" kaputtmachen.

 

[tproko]

komplette interne Netz zugreifen und dort ungeschützte Geräte übernehmen, trotzdem sollte ich nirgends das Passwort auslesen können

Nur ins blaue geschossen. Wenn jemand im Netz ist, sollte http mitsniffen auch einfach möglich sein.

Keine Ahnung ob jeder seine nur lokale NAS auf httpS forciert...
Und http ist nunmal einfach mitlesbar

 

[SAMU]

@tproko

Das stimmt, http kann man mitlesen, aber nur wenn der Traffic auch da durch geht. Da der Traffic vom z.B. PC zur Syno nicht durch den iobrocker durchgeschleift wird, sollte da nix passieren. Außer natürlich ich mache eine Man-in-the-middle-attack auf dem iobrocker

 

[Speicherriese]

Und selbst wenn er es bis ins eigene Netz irgendwie geschafft hat, wie knackt er die 2 Phasen Verchlüssellung?

 

[Synchrotron]

Wenn ich einige (viele) DSen parallel kompromittiert habe (auf Basis eines großen Portscans, siehe den ct-Artikel), und überall entsprechende Programme mitlaufen lasse, die an einen Controlserver „berichten“, kann ich mich zurück lehnen und einfach abwarten.

Ab und zu klingelt es mal am Control Server, weil Zugangsdaten abgefangen wurden, dann folgt der eigentliche Exploit.

Daher ist es sinnvoll, sich nicht nur auf die Firewall zu verlassen, sondern auch im internen Netz (VLAN, https aktiviert, kein UPnP etc.) und mit seinen diversen internen Accounts auf Sicherheit zu setzen. Damit kann man einen Zugriff zumindest mal deutlich erschweren, selbst wenn es einen ersten Einbruch gab. Wenn sich der Hacker Gerät für Gerät vorkämpfen muss, weil überall andere Anmeldedaten gelten, ist die Wahrscheinlichkeit viel größer, dass es irgendwann auffällt.

Wenn man etwas aktiviert (mal ausprobieren ...) hinterher darauf achten, dass man alle Spuren tilgt. Der eine vergessene offene Port ist eben einer zu viel.

 

[Synchrotron]

2FA dürfte er überhaupt nicht knacken. Aber vielleicht sind irgendwelche Pakete veraltet, und man kommt durch den Hintereingang weiter.

 

[Synchrotron]

Zu der Strategie, viele Server parallel anzugreifen: Im Herbst 2019 gingen die neuen Emotet-Infektionen ziemlich runter. Da gab es schon Spekulationen (Kein Platz mehr in der Garage für noch ‚nen Lambo...).

Nein, das war es nicht. Nur waren zu dem Zeitpunkt so viele Server bereits „erfolgreich“ automatisch infiziert worden, dass das Exploit-Team wohl nicht mehr hinterher kam. Also hat man die Neuinfektionen runter gefahren, und erst mal abgeschöpft, wo man schon eingedrungen war. Danach zog es wieder an.

Wenn ich den Artikel in der ct (siehe oben) und eine ganze Reihe weiterer lese, dürfte sich am Szenario grundsätzlich bis heute nichts geändert haben. Es gibt erschreckend viele völlig ungesicherte Server im Netz, und sicher Zehnerpotenzen mehr, auf denen hinter offenen Ports zwar gesicherte, aber veraltete Software läuft.

 

[Michael336]

Hi,

das ist natürlich ein interessanter Gedanke dahinter....
Entweder die kamen nicht nach, haben aufgegeben und Neue haben irgendwann das Ganze übernommen.

Man kann auch über Zeitstempel spekulieren und lädt halt bis zum Tag X irgendwelche Fragmente hoch und aktiviert dann irgendwann...

Was ich mich die ganze Zeit frage....mal abgesehen von den Infos, die ich aus dem Netz habe...
Wofür würde das Ding ursprünglich konstruiert und wie professionell wurde das Ganze programmiert?

Gibt es Parallelen zu irgendwelchen „offiziellen“ Überwachungstools?

Wie schon früher mal angedacht... die einzige Möglichkeit aus meiner Sicht ist es doch wohl, seine wichtigen Dateien per Checksummen zu überwachen, oder sehe ich das falsch?
Sehe ich das richtig, dass eine infizierte Office-Datei keine andere infizieren kann, sondern dazu ein Programm nötig ist, zB entweder das Infizierte Originalprogramm oder die eingeschleuste Software?

Dann könnte man doch seine Backups zB mit offline Minirechner, zB dem Pi, zB wöchentlich scannen....

Ich glaube, wenn ich nicht was Moderneres und Schnelleres hätte haben wollen, wäre ich beim Pi 3B+ geblieben, der rundherum gehärtet war uns nur eine zweckgebundene Funktion hatte, als Kleiner Server ohne Schreibrechte benutzt zu werden. Das hätte ich mit dem Nachfolger, oder einem anderen Mini-PC auch in Gigabit realisieren können.... nun ja.

 

[peterhoffmann]

Script für einen Honeypot um eine Verschlüsselung automatisch zu erkennen

Checksummen erstellen (nur einmalig nötig):

md5sum /volume1/gemOrdner/honeypotdateien* > /pfad/zur/checksummdatei.txt

Checksummen prüfen:

cd /volume1/gemOrdner
md5sum --quiet -c /pfad/zur/checksummdatei.txt

In einem Script könnte das dann so aussehen:

#!/bin/bash

## Verzeichnis festlegen (Honeypotdateien)
cd /volume1/gemOrdner

## Prüfung ob Checksummendatei vorhanden ist
if [ -f /pfad/zur/checksummdatei.txt ]
then
## Prüfung der Dateien mittels der Checksummen
ausgabe=$(md5sum --quiet -c /pfad/zur/checksummdatei.txt)
else
ausgabe="Verzeichnis/Datei nicht vorhanden"
fi

# Prüfung auf Fehlermeldung ($ausgabe) und Mail
if [ "$ausgabe" != "" ]
  then
  echo "FEHLER!"
  echo $ausgabe

SUBJECT="NAS - Filecheck fehlgeschlagen"
CONTENTS="$ausgabe"

ssmtp meine@email.de << EOF
To: meine@email.de
From: meine@email.de
Subject: $SUBJECT

$CONTENTS
EOF

fi

Das Script prüft, ob die Checksummendatei vorhanden ist. Wenn ja, werden die Dateien geprüft. Bei Fehlern erfolgt eine E-Mail. Für eine E-Mail ist es zwingend erforderlich, dass im DSM unter Benachrichtigung eine E-Mail eingerichtet worden ist.

Als Testdateien empfehle ich PDF, Word, Excel, JPG, TXT. Auch ist es ratsam die Checksummendatei (/pfad/zur/checksummdatei.txt) in einen Ordner zu legen, der von außen nicht zugänglich ist.

Angepasst werden müssen hier noch:

• Ort der Honeypotdateien (/volume1/gemOrdner/honeypotdateien* und /volume1/gemOrdner)
• Ort der Checksummendatei (3x /pfad/zur/checksummdatei.txt)
• E-Mailadresse (3x meine@email.de)

 

[Michael336]

Danke Dir.

Was meinst Du, sinnig?
Wie schätzt Du den Zeitbedarf insgesamt ein?

 

[peterhoffmann]

Was meinst Du, sinnig?
Wie schätzt Du den Zeitbedarf insgesamt ein?

Meinst du mich?

Wenn ja, was meinst du mit "sinnig"?

Der Zeitbedarf:

• 5min => Erstellen von Dateien 5 Testdateien (huhu.pdf, huhu.jpg, huhu.xlsx, huhu.docx, huhu.txt)
• 10min => Scriptanpassung
• 5 min => Testlauf
• 1 min => Einrichtung Aufgabenplaner/Cronjob

Also 20 bis 30 Minuten. Auch würde ich empfehlen die Testdateien ins Hauptverzeichnis eines (oder mehrerer) gemeinsamer Ordner zu packen. Ich gehe davon aus, dass ein Verschlüsselungstrojaner oben (/volume1/1.Ordner/*) anfängt und sich Stück für Stück durch die Verzeichnisse crawlt.

Das Script muss nach dem Testlauf mehrfach am Tag (nach Belieben) durch den Aufgabenplaner (Cronjob) aufgerufen werden. Der Durchlauf dauert in der Regel nur 1-2 Sekunden. Man kann es also recht oft am Tag durchlaufen lassen ohne das das irgendwie das NAS stört.

 

[Lextor]

spannend...ich werde mich mal damit befassen...

 

[Michael336]

Meinst du mich?

Wenn ja, was meinst du mit "sinnig"?

Der Zeitbedarf:

• 5min => Erstellen von Dateien 5 Testdateien (huhu.pdf, huhu.jpg, huhu.xlsx, huhu.docx, huhu.txt)
• 10min => Scriptanpassung
• 5 min => Testlauf
• 1 min => Einrichtung Aufgabenplaner/Cronjob

Also 20 bis 30 Minuten. Auch würde ich empfehlen die Testdateien ins Hauptverzeichnis eines (oder mehrerer) gemeinsamer Ordner zu packen. Ich gehe davon aus, dass ein Verschlüsselungstrojaner oben (/volume1/1.Ordner/*) anfängt und sich Stück für Stück durch die Verzeichnisse crawlt.

Das Script muss nach dem Testlauf mehrfach am Tag (nach Belieben) durch den Aufgabenplaner (Cronjob) aufgerufen werden. Der Durchlauf dauert in der Regel nur 1-2 Sekunden. Man kann es also recht oft am Tag durchlaufen lassen ohne das das irgendwie das NAS stört.

Ja. Danke.

 

[Synchrotron]

Oder so, z.B. auf einem Pi zu installieren. Vorteil: Alarmiert auch, wenn sich "nur" jemand im Heimnetzwerk herumtreibt, und nennt die IP des infizierten Rechners.

https://opencanary.readthedocs.io/en/latest/

 

[Synchrotron]

@Michael336 Einer der möglichen Abläufe sieht so aus:

Office wird genutzt, weil es Makros anbietet. Der User erhält eine E-Mail, darin ein Office-Dokument, das er dringend "prüfen" soll (eine Rechnung, ein Angebot etc.). Beim Öffnen wird er zwar gefragt, ob er Makros aktivieren will, das ist aber so dummdöselig von MS formuliert, dass es immer wieder bestätigt wird.

Das Makro lädt dann im Hintergrund die eigentliche Start-Schadsoftware nach. Die richtet sich auf dem Rechner ein, noch nur mit den Userrechten. Jetzt wird eine Störung verursacht, z.B. der Drucker. Um die zu korrigieren, benötigt man einen lokalen Admin. Der kommt, gibt seine Zugangsdaten ein, der Drucker druckt wieder. Der Keylogger sendet die Zugangsdaten an den ControlServer.

Jetzt kommt der Hacker ins Spiel. Hat der lokale Admin die gleichen Zugangsdaten auch als Netzwerk-Admin ? Bingo, schon drin ! Sonst hat man zumindest mal einen lokalen Admin-Account, und kann damit weitere SW laden bzw. die Rechte hoch stufen. Es kommen im gesamten Angriff oft vorbereitete Windows-Powershell-Skripte zur Ausführung. Die können in Einzelstücken als Textdateien geladen werden und sind für sich unverdächtig.

Ziel bleibt immer, vollen Netzwerkzugang zu bekommen. Dann wird verschlüsselt, wobei man inzwischen gezielt zuerst die Backups angreift. Um noch glaubwürdiger erpressen zu können, werden auch zunehmend Daten herunter geladen (Kundenlisten, Mitarbeiterdateien, Kalkulationen, Buchhaltungsdaten etc.). Irgendwann hat man, was man wollte, kennt auch sein Ziel besser, kann Schaden und Zahlungsfähigkeit einschätzen - jetzt wird die Infektion offen gelegt und der Erpressungsversuch gestartet.

Office ist nur für den ersten Schritt notwendig, um die erste Schadsoftware auf den Rechner zu bekommen.