Ransomware und anderer Dreck...QNAP hat mal wieder Stress

[the other]

Moinsen,
wie hier

https://www.heise.de/news/Jetzt-pat...re-hat-es-auf-Qnap-NAS-abgesehen-4913513.html
zu lesen, hat es mal wieder jemand auf QNAPs abgesehen. Gefühlt geschieht dies häufiger als bei "unseren" Synologies, finde ich. Daher mal die Frage an die alten (ahem, ihr wisst hoffentlich wie es gemeint ist) User hier:
gab es schon mal eine vergleichbare Warnung für Synology NAS in der Vergangenheit? Wenn ja, was war da das Problem?
Einfach aus Interesse gefragt...

 

[Tommes]

Hier gab es mal was *klick*

 

[Jagnix]

Habe zwar erst seit 2018 ein Synology, aberes gab den SynoLocker (2014!) und 2019 eine Brute-Force Attacke gegen Syno und Qnap.
Qnap hat in der Beziehung aber echt die Arschkarte. In schöner Regelmäßigkeit taucht da was auf.

 

[the other]

Moinsen Tommes und Wadenbeißer,
danke für den link...liest sich lustig, gerade auch frogmans Einschätzung, dass diese Art der Bedrohung zukünftig wohl zunehmen wird....hat eine gute Glaskugel gehabt!
Ja eben, wadenbeißer, das finde ich auch, dass es sich bei qnap gefühlt häuft bzw. häufiger Warnungen gibt...bis auf den SynoLocker bzw. Tommes link aus 2014 kenn ich selber aber sonst nix, was durch Pakete oder DSM-OS eine solche Warnung provoziert hätte...

 

[Synchrotron]

Gefühlt ist Synology weniger betroffen als QNAP. Wobei sich da niemanden in Sicherheit wiegen sollte, alter Linux-Kernel und so ...

Da größere Risiko dürfte allerdings sein, dass die Verschlüsselungstrojaner inzwischen von infizierten Windows-Rechnern aus gezielt Netzlaufwerke angreifen, incl. dort eingehängter Backups. Der typische Verbreitungsweg sind nach wie vor per Mail verschickte Dateianhänge, mit Office-Makros. Die brauchen keinen offenen Port.

Die neuesten Varianten sind Anhänge als passwortgeschützte ZIPs, weil die Virenscanner dort nichts finden können. Das Passwort steht in der E-Mail mit dem Anhang - was schon mal jeden misstrauisch machen sollte. Eine andere Variante sind Mails mit Links, die zu einer Webseite führen, von der über die Browserverbindung der Schadcode in unverdächtigen Paketen geladen wird. Die Päckchen werden erst auf dem Zielrechner zusammen gesetzt, wobei die MS PowerShell zu Diensten ist.

Mit der Pest werden wir es noch eine Weile zu tun haben.

Persönlich habe ich u.a. die Konsequenz gezogen, von außen generell nur über VPN zuzugreifen. Damit ist nur ein Minimum an Ports geöffnet, das minimiert die Angriffsfläche. Außerdem habe ich in meinen VPN-Clients und am Router andere Ports eingerichtet als die üblicherweise verwendeten, womit auch keine Rückschlüsse auf den dahinter laufenden Dienst mehr möglich sind. Natürlich ist das keine generelle Strategie, je nachdem, mit welchen Diensten man von außen erreichbar sein muss.

 

[Jagnix]

Das größte Manko bei QTS ist, das man den admin eigentlich nicht wirklich ändern kann.
Man kann ihn zwar deaktivieren und einen neuen erstellen. Aber diese hat nicht die gleichen Rechte wie der original Admin.

 

[Jagnix]

Gefühlt ist Synology weniger betroffen als QNAP.

Nicht nur gefühlt

von infizierten Windows-Rechnern aus gezielt Netzlaufwerke angreifen, incl. dort eingehängter Backups.

Dann können die bei mir nur ihren eigenen home-Ordner und den Transferordner verschlüsseln.

Persönlich habe ich u.a. die Konsequenz gezogen, von außen generell nur über VPN zuzugreifen.

Dito. VPN endet bei mir am Router.

 

[the other]

Moinsen,
@Synchrotron: ja, die eigene "gefühlte" Sicherheit endet bei der Kernel Version...das ist ein wenig der Hintergrund meiner Frage hier...hören tut man immer BÄH! Nicht mit spielen!! für QNAP, aber wenig für Synology. Dein geschildertes Szenario ist ja auch dahingehend eher allgemeingültig, weniger Synology spezifisch.
Mit VPN und Backups auf alternierende USBs (die nicht dauerhaft am NAS hängen!) sowie konsequent sparsamen Installieren von Paketen tut man eben sein bestes, um dem Krempel einigermaßen gewappnet gegenüber zu stehen...

 

[Synchrotron]

Nach meiner Einschätzung (beruhend auf veröffentlichten Ransom-Attacken, d.h. Spitze des Eisbergs) werden kleine private Netze automatisiert angegriffen. Wenn da keine Zugangsdaten fest hinterlegt sind, bleibt die Infektion vermutlich auf den erstbefallenen Rechner beschränkt, bzw. auf die Windows-PCs im Netz.

Bei größeren Netzwerken mit entsprechendem Erpressungspotenzial graben sich wohl menschliche Hacker durch. Da würde ich auch für andere Rechner, Server wie Clients mit einem Risiko rechnen. Hier werden gezielt zuerst alle greifbaren Backups verschlüsselt.

Was ich ganz lustig fand, ist die Möglichkeit, auf einem kleinen, billigen Raspberry die Software Opencanary zu installieren. Der Raspi simuliert einen Server, dessen einziger Zweck es ist, im Netzwerk auffällig zu sein. Funktionen hat er keine, also auch keine legitimen Zugriffe. Greift trotzdem jemand darauf zu, bekommt der Admin eine E-Mail incl. der IP des anfragenden Rechners. Dann kann man sich das anschauen und ggf. den Stecker ziehen. Kleine Lebensversicherung für einen Hunderter ...

 

[synfor]

Das größte Manko bei QTS ist, das man den admin eigentlich nicht wirklich ändern kann.
Man kann ihn zwar deaktivieren und einen neuen erstellen. Aber diese hat nicht die gleichen Rechte wie der original Admin.

Und das ist bei Synology anders?

 

[Synchrotron]

Ja - man kann den Admin gleichen Namens deaktivieren, und einen anderen mit den gleichen Rechten vergeben.

Sollte man auch tun ... erschwert BruteForcing erheblich, weil man auch den User erraten muss.

 

[synfor]

Worauf bezieht sich das Ja? Auf meine Frage sicher nicht.

 

[Synchrotron]

So besser ? Doch, das bezog sich genau darauf. Ist ja auch der Post genau darüber. Da kann man sich das Zitat auch sparen, finde ich. Sonst steht alles doppelt herum, ohne dass es dadurch an Mehrwert gewinnt.

Man kann den Admin durch einen anderen ersetzen und dann deaktivieren. Bisher ist mir nicht aufgefallen, dass der selbst angelegte weniger kann bzw. darf. Jedenfalls tut er es für alles, was so anfällt.

Sollte man den Admin-Admin tatsächlich mal brauchen, ist der ja noch da, aber muß eben aktiviert (und später wieder deaktiviert) werden.

 

[Michael336]

Hi,
ich denke, man braucht schon einiges an IT Erfahrung, um NAS und die eigene Internet-Netzinfrastruktur so abzusichern, dass ein unerlaubter Zugriff von Außen stark erschwert wird.

Nach meinen schlechten Erfahrungen vor ein paar Jahren mit einem anderen Hersteller Habenichts mich persönlich dazu entschlossen, nur noch Datenspeicherung zu nutzen und keinen Zugriff von Außen mehr zuzulassen.
Brauch ich persönlich an sich auch nicht, war für mich eher nice to have.

Ich glaube, sollte ich das mal benötigen, würde ich einen Profi ranlassen und auch schon vor der NAS evtl mit zusätzlicher Hardware agieren. Dafür war mein Erlebnis zu krass.

Ich meine, dass fängt mit der Userverwaltung an, geht über deren Berechtigungen, über Freigaben, Dateien, Ports, Weiterleitungen usw.

Ich kenne mich gut aus, aber offenbar nicht gut genug.

Von daher sollte sich jeder meiner Meinung nach genau überlegen, was er braucht und auch nur das nutzen.

LG Micha

 

[synfor]

Synchrotron, ich hatte nicht danach gefragt, ob man den Standardadmin durch einen anderen User mit Adminrechten ersetzen kann. Ein vollständiger Ersatz ist das aber auch bei Synology nicht. Die Antwort auf meine Frage hätte also nein lauten müssen.

 

[Puppetmaster]

Sollte man auch tun ... erschwert BruteForcing erheblich, weil man auch den User erraten muss.

Denke dir statt eines 30 stelligen Passworts einfach ein 40 stelliges aus, dann hast du dieses Manko behoben, bzw. bist im Zweifel noch sicherer.

 

[NSFH]

Das Einfallstor in Netze ist schon lange nicht mehr eine Schwachstelle in der Firewall oder am Server durch mehr oder weniger gezielte Angriffe auf Schnittstellen sondern der Nutzer selbst mit ungewollten Infektionen durch E-Mails.
Hat sich Emotet und Konsorten erst mal auf einem PC installiert ist der angehängte Server komplett vereloren, da die Schadsoftware Admin Passwörter ausspäht und dann alles infiziert, was an diesem einen System hängt, egal ob per Nw Laufwerk, USB oder eSATA, egal was ihr an eurer Syno so einstellt.
Man muss sich auch darüber im klaren sein, dass nur zum Backup abgeschlossene, externe Laufwerke genau so gefährdeet sind, wenn man zum Anschlusszeitpunkt nichts von Befall seines Systemes weiss.

Kernelprobleme, das alte Problem ungepatchter Schwachstellen in 90% aller Router auf dem Markt besteht zwar, ist aber für Hacker weniger interessant, da man diese einzelnen Schwachstelle erst aufwändig finden muss. Millionen Emotet E-Mails zu versenden ist viel effektiver.

 

[the other]

Moinsen,
da gebe ich dir auch Recht, NSFH. Es ging mir bei der Ausgangsfrage aber um spezifische Synology "Lücken" der letzten Zeit (im Vergleich zu QNAP).
Die Ransomware-Well ist sicherlich um ein Vielfaches akuter und richtet Schaden an, wie regelmäßig aus Funk TV und Presse zu entnehmen ist. Das hat aber weniger mit Synology und mehr mit dem User vor dem Bildschirm zu tun, meiner Meinung nach...

 

[Jagnix]

Ein vollständiger Ersatz ist das aber auch bei Synology nicht.

Ist mir nicht aufgefallen. Was geht denn nicht ?

 

[framp]

ich denke, man braucht schon einiges an IT Erfahrung, um NAS und die eigene Internet-Netzinfrastruktur so abzusichern, dass ein unerlaubter Zugriff von Außen stark erschwert wird.

VPN und anderen User fuer Adminaufgaben einrichten bringt schon sehr viel. Aber ich stimme @Michael336 zu dass die Materie kompliziert ist und deshalb der beste Schutz immer noch ist seine Syno NICHT per Internet zugreifbar zu machen. Das schuetzt aber dummerweise nicht vor Ransomeware die über infizierte WinClients im lokalen Netz auf shared Folder zugreifen koennen