Verschlüsselungstrojaner

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
422
Punkte für Reaktionen
49
Punkte
34

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Lustig, wenn man dies durchliest. " Und die Hacker hangelten sich durch das Windows System".
Tja, wie ich schon geschrieben habe, ist bei mir alle Windows Gedöns vor zig Jahren rausgeflogen und durch Apple ersetzt werden. Eine Schwachstelle weniger bei mir.
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Am ende bringt es alles nix. Mein Onkel hatte auf eine DPD Lieferung gewartet. Es kam eine E-Mail Bestägtigung, das die Ware am und um diese Uhrzeit kommt, mit Tracking Nr. Er hat die Tracking Nr. angeklickt und von da an hat sein Rechner komplett gesponnen. Drucken ging nicht mehr, Internet war plötzlich sehr träge lt. seiner Aussage. Ich hatte mir damals diese E-Mail auf seinem Rechner angesehen. Sie schaute, bis ins letzte Detail genauso aus, wie die herkömlichen DPD Mitteillungen. ( Das es auch zeitgleich mit seiner wirklichen DPD Bestellung zusammen passte ist schon der Hammer) Ich denke, genau hier werden von 100 Personen 95 reinfallen. Nur solche, wie hier im Forum sind natürlich übervorsichtig. Aber den großen Teil der Masse schöpfen die Hacker damit ab.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: DS920upgrade

steje43

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
666
Punkte für Reaktionen
35
Punkte
48
Ich hatte mir damals diese E-Mail auf seinem Rechner angesehen. Sie schaute, bis ins letzte Detail genauso aus, wie die herkömlichen DPD Mitteillungen.

Habe auch schon sehr gut nachgemachte Email gesehen. Die sind fast zu 100% identisch. Leider muss ich sagen, richtig gut gemacht.

Wenn man nicht richtig hinsieht oder mal unter Zeitdruck steht, kann das schnell passieren das man klickt.

Nur noch einen Windows 10 Rechner für die Vereinsverwaltung. Privat Debian Buster :)
 
  • Like
Reaktionen: Speicherriese

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Nur zur weiteren Information:
Keine Sicherheit: Zwei-Faktor-Authentifizierung automatisiert hacken
https://www.heise.de/ix/meldung/Kei...tifizierung-automatisiert-hacken-4532694.html


Geknackte Zwei-Faktor-Anmeldung: Warum Software Token keine gute Idee sind

https://www.heise.de/security/meldu...tware-Token-keine-gute-Idee-sind-4622748.html
Das Spiel endet nie - nur sollten wir hier nicht einfach unkommentiert Verunsicherung streuen.

Artikel 1: Bezieht sich auf eine externe Internetverbindung, bei der ein "Man-in-the-middle" Ansatz zum Zug kommt. Für die Absicherung der DS im eigenen Heimnetzwerk nicht relevant, außer das eigene Netz ist schon so kompromittiert, dass es darauf auch nicht mehr ankommt.
Artikel 2: Beschreibt nur eine ganz bestimmte, schon ältere 2FA, bei der der Software-Token geknackt wurde, der auf einem PC installiert war. Betrifft nur Anwender, die das benutzen.

Fazit: 2FA schafft eine weitere Ebene für mehr Sicherheit. Zumindest Admin-Konten sollten damit geschützt werden. Wegen des Risikos, dass SIM-Karten dupliziert werden, sollte man statt Code-SMS besser einen gängigen Authenticator auf einem vernünftig gesicherten Handy nutzen.
 
  • Like
Reaktionen: the other und Fusion

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
422
Punkte für Reaktionen
49
Punkte
34
Verunsichert ist doch nur, wer nur die Überschrift und nicht den ganzen Artikel liest.
Und wenn der Artikel nicht zur Äufklärung beiträgt, helfen Kommentare wie deiner, danke.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Wäre schön, aber wir haben hier alles von Neueinsteigern bis zu langjährigen Admins. Außerdem sind die relevanten Informationen hinter der heise-Paywall.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Paywall... das ist doch genau das Stichwort was im Thread "Umstrukturierung des Forums" noch fehlt bzw. des "redaktionellen" Teils, welcher von @Ulfhednir angesprochen wurde, das fehlt hier noch... dann geht das Niveau bestimmt auch runter (wie im Forum von heise.de ... ?). Davon ab wurden auch schon öfters 2FA-Dinge geknackt und/oder umgangen... Hier mal ein genereller Artikel dazu.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Danke für den Link -man trifft immer auf die gleiche Ereigniskette:

Unabhängig davon, wie sich ein Benutzer bei einem Windows-Computer authentifiziert hat, wird das resultierende Zugriffskontroll-Token durch ein Kerberos-Ticket oder NTLM- (oder LM)-Token dargestellt. Viele Benutzer glauben fälschlicherweise, dass ...

Oder mit anderen Worten: Windows ist wie U-Boot-Fahren. Kaum macht man das erste Fenster auf, fangen die Probleme an ?

Trotz aller Angreifbarkeit schafft 2FA ein weiteres Level, an dem ein Angreifer erst mal vorbei muss. So lange es viele schlechter gesicherte Ziele gibt, fährt man damit vermutlich ganz gut.
 

Michael336

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
141
Punkte für Reaktionen
32
Punkte
28
Man kann sogar, Siege Auslieferungs Mail, ob da nicht sogar schon vorher was geschnüffelt hat.
Ich lese jedenfalls seit Jahren alles an Mails nur noch mit Apple Geräten, ob das nun eine trügerische Sicherheit ist, weiß ich nicht.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Das ist tendenziell sicherer, auch wenn es absolute Sicherheit nicht gibt.

Vorteile: Die intransparenten Verknüpfungen zu MS Office fehlen (so lange man nicht auf Outlook / Office für Mac setzt), kein Flash, Apps laufen auf Macs oft und iOS immer in einer Sandbox etc.

Was man ausschalten sollte, ist das automatische Laden von Bildern („Entfernte Bilder laden“ auf AUS). Werden Bilder automatisch geladen, wird durch ein „tracking pixel“ sofort die Rückmeldung übertragen, dass das Konto besteht und die Mail geöffnet wurde. Also abschalten - sollten die Bilder in den Mails relevant sein, ist es ein Mausklick, um sie anzufordern.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.246
Punkte für Reaktionen
912
Punkte
174
Schon klar dass die das gewerblich machen. Ich will allerdings verstehen "WIE" es in dem Fall ging.

Erst einmal Danke an @blurrrr für den Hinweis zum ioBroker in diesem Thread.
Ich kann mir schon einen Reim daraus machen. Das Grundproblem ist der offene Port 8081. Dieser erlaubt in der Standardkonfiguration einen Zugriff auf die Administrationsoberfläche vom ioBroker. Im ioBroker selbst kann ich damit Adapter installieren und auch Shell-Skripte erlauben. Die Skripte können, meiner Kenntnis nach, je nach Docker-Installation mit Systemrechten ausgestattet sein.

Die Ausführung der Skripte selbst lässt sich dann wiederum direkt über die Admin-Oberfläche ausführen.

Man steht hier also nur vor der Herausforderung, dass man ein potentielles Opfer finden muss. Und ich muss euch sagen... Das geht ziemlich einfach, wenn man die nötigen Werkzeuge oder Plattformen kennt. Ich habe spaßenshalber geguckt: Es werden mir 771 potentielle victims dargestellt. Der erste Treffer ist/war offen. Das überrascht und entsetzt mich gleichermaßen. Aber so laufen z.T. auch Angriffe gegenüber Industrieanlagen.
Irgendein Experte ist zu Faul einen VPN aufzubauen und gibt die komplette Verwaltungsplattform frei. Jetzt muss nur noch ein dreckiger Black Hat einen Suchlauf starten und die 771 Fälle durcharbeiten.

Und ich hatte schon Sorge, dass mein ioBroker grundsätzlich unsicher ist. o_O
 
  • Like
Reaktionen: SAMU und Synchrotron

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
8.459
Punkte für Reaktionen
1.395
Punkte
288
Synchrotron Dein Windows-Bashing hättest du dir sparen können. Das Problem ist nämlich gar nicht Windowsspezifisch. Am Beispiel von Windows wird lediglich erklärt, was bzw. wo genau das Problem ist.
 
  • Like
Reaktionen: D_Espero

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Das ist kein Windows-Bashing. Das hebt lediglich auf die Tatsache ab, dass praktisch alle bekannt gewordenen Ransom-/Crypto-Attacken über Windows-Clients starten, und dann oft über Skripte für die Windows Powershell voran getrieben werden. Es werden auch keine obskuren Programme Dritter benutzt, es läuft über MS Office oder alte Formate wie MS sylk, deren Code noch irgendwo mitgeführt wird.

Für mich als Anwender ist es völlig egal, ob das daran liegt, dass Windows / Office durch seinen Marktanteil ins Visier genommen wird, oder einfach zu viele Sicherheitslücken aufweist. Fakt ist, dass MS es bisher nicht geschafft hat, dem Einhalt zu gebieten - Emotet ist jetzt nicht wirklich neu, um nur einen Trojaner zu erwähnen, der seit Jahren genutzt wird.

Für eine Unternehmensumgebung kommt man an MS vermutlich nicht vorbei - als Privatanwender schon. Man vermeidet damit eine wesentliche Quelle für potenziellen Ärger im Heimnetzwerk.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
8.459
Punkte für Reaktionen
1.395
Punkte
288
Auf der Webseite, von der dein Zitat stammt, ging es aber gar nicht um Ransomware oder Crytotrojaner. Da gings um die Sicherheit der 2FA bzw. MFA. Und das ist kein Windows spezifisches Problem.
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
243
Punkte
63
Habs gerade in einem anderen Faden geschrieben - das Sicherheitsproblem von ioBroker:

- Bei der Neu-Anlage von ioBroker im Docker-Syno wird kein Passwortschutz verlangt

- es gibt in ioBroker den Adapter Synology: "Erhalten Sie Status und steuern Sie Ihre NAS Synology".

- dort werden die Zugangsdaten hinterlegt.

Bingo: Zugriff auf die Diskstation durch Auslesen der entsprechenden Datei ist möglich, wenn man auf den ioBroker von außen kommt.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
@servilianus
Ich nutze das Programm zwar nicht, find es aber sehr cool, dass du da mal nachgeforscht hast und die Ergebnisse teilst. Das Ding taucht ja immer wieder mal auf und zuletzt eben in eher tragischem Zusammenhang.
Ab auf ein raspi damit und das gut absichern, wenn es dann unbedingt genutzt werden muss...
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Alles ist kein Drama, wenn man solche Installationen strikt auf das Heimnetz beschränkt. Will man von außen zugreifen, VPN anwerfen, einwählen und gut ist.

Das ist keine Empfehlung, im Heimnetz schlampig zu arbeiten, „weil da ja keiner reinkommt“. Aber es reduziert die nutzbaren Angriffsvektoren drastisch, wenn man die meisten möglichen Türen gleich zugemauert läßt.
 

PeterPanther

Benutzer
Mitglied seit
12. Jun 2014
Beiträge
314
Punkte für Reaktionen
3
Punkte
18
Habe mir den Thread größtenteils durchgelesen. Was für eine üble Nummer. Noch schlimmer als eine Verschlüsselung (was in dem Fall bei fehlendem Backup natürlich trotzdem katastrophal ist) finde ich die Aussicht, die Kontrolle über private Daten verloren zu haben.
Aber ich fürchte, zumindest gegen letzteres kann man sich nicht schützen, denn für viele besteht der Sinn eines NAS ist ja gerade darin, über eine Netzwerkfreigabe auf alle Daten zugreifen können (mindestens mal private Bilder und Videos, vielleicht auch mehr (Stichwort: Papierlose Aktenhaltung, da geht es dann schnell auch um Gesundheits-, Steuer-, Berufsdaten oder was weiß ich nicht noch alles).
Nun kann aber logischerweise jeder, der den Windows-Account 'erobert' hat, auch auf sämtliche diesem zur Verfügung stehenden Daten zugreifen.

Und wenn ich das hier so lese, frage ich mich schon, wie man sich schützen soll.

Natürlich nutze ich Windows nur mit einem eingeschränkten Nutzer, nennen wir ihn "Peter" und melde mich nur gelegentlich als Admin an, um Updates etc. durchzuführen. Auf dem System läuft ein Virenscanner und das System wird aktuell gehalten. Wobei ich mich schon frage, was so ein Virenscanner überhaupt bringt, offenbar kann er sowas ja nicht verhindern.
Der Zugriff von außen erfolgt ausschließlich per VPN (Zugangspunkt Fritzbox), was nicht gerade schnell aber wohl am sichersten ist.


Naja, das samba bzw. smb Protokoll ist nunmal Standart für Freigaben in der Windows und Mac Welt, ohne das wirds halt schwierig mit den Netzlaufwerken. Aber auch bei nfs Laufwerken müssen Benutzer und Kennwort verwendet werden.
Natürlich wäre es das beste getrennte Benutzer mit entsprechenden Rechten für Admin und User zu nutzen.

Da frage ich mich: Hilft das was? Natürlich habe ich als Windows-Nutzer "Peter" auch auf dem NAS ein Pendant, den NAS-Nutzer "Peter". Der hat dann vielleicht noch das gleiche Passwort wie der Windows-Peter, damit der Windows-Peter ohne Probleme auf seine NAS-Laufwerke zugreifen kann (was aber eigentlich Wumpe ist, weil das Laufwerk ohnehin automatisch eingebunden und damit offen ist).
Auf diesen Laufwerken hat der Peter freilich Schreib- und Leserechte, sonst wäre das alles sinnlos.

Frage: Wo ist der Unterschied zum Admin-User der NAS? Wenn doch der Windows-Peter über den NAS-Peter Schreibrechte hat, kann dann der Verschlüsselungstrojaner nicht genauso die Ordner verschlüsseln (Löschen geht ja auch)? Oder benötigt man dazu tatsächlich die NAS-Adminrechte?

Nächste Frage: Backups. Selbst bei einer recht umfangreichen Backupstrategie (ein wöchendliches Backup auf USB-Laufwerke an dem NAS, monatliches Backup auf Zweit-NAS, außerdem manuelle Backups die unregelmäßig über Windows aktiv durchgeführt werden) bleibt doch auch hier die Problematik, möglicherweise ein kompromittiertes Backup zu haben? Oder kann man davon ausgehen, dass ein normal aussehendes Backup keine Schadsoftware enthält, die möglicherweise beim Wiedereinspielen den ganzen Zinober von vorn startet?

Wäre es in diesem Zusammenhang vorteilhaft, wenn die NAS-Daten sowieso schon verschüsselt wären, also vom NAS aus?
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
655
Punkte für Reaktionen
74
Punkte
48
Aber der Admin User darf ALLES. Also z.B. auch die Backups oder Snapshots löschen.
Auch wenn die Daten im Nas bereits verschlüsselt sind, ist ein Laufwerk gemappt kriegt der Pc davon nichts mit.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat