NAS im Einsatz – einfach, aber unsicher?

Lesezeit
3 Minuten
Bis jetzt gelesen

NAS im Einsatz – einfach, aber unsicher?

18.01.2016 - 14:00
Veröffentlicht in:
Verwenden Sie ein NAS? Sie wissen schon, diese praktischen Netzwerkspeicher, um die Sie sich im Grunde nie kümmern müssen. Einmal ans Netzwerk angeschlossen, stellen sie massenhaft Speicherplatz zur Verfügung. Und das Beste daran: Ab Werk sind sie ohne großen Aufwand mit dem Internet verbunden, sodass Sie von überall auf Ihre gespeicherten Daten zugreifen können. Leider geht es mit zunehmender Verbreitung mit der Sicherheit bergab, denn Cyberkriminelle haben ein Auge auf das NAS anderer Leute geworfen. Wir erklären, wie Sie gängigen Angriffen wirkungsvoll einen Riegel vorschieben.
Auch ein NAS kann Bitcoins minen: Der erste Angriff auf NAS-Systeme war noch relativ harmlos: Im Januar 2014 nutzten Cyberkriminelle eine Schwachstelle in der Firmware der Synologys DiskStation aus, um darauf einen Bitcoin-Miner zu installieren. Die reine Miner-Schadsoftware belastete zwar "nur" die CPU und manipulierte das Webinterfaces, um diese Belastung zu vertuschen. Eine Variante der Schadsoftware suchte aber auch nach Zugangsdaten und verbarg sich noch besser im System. Vermutlich wollten die Cyberkriminellen so auch nach der Installation eines Patches die Kontrolle über das NAS behalten. Synology veröffentlichte ein Firmware-Update, mit dem sich die Schwachstelle beheben ließ. Auf infizierten Systemen reichte die Installation des Updates jedoch nicht aus, um die Schadsoftware zu entfernen. Dafür war eine komplette Neuinstallation nötig.

Geld her, oder Ihre Daten sind weg
Als Ransomware wird jede Schadsoftware bezeichnet, die ihre Opfer zur Zahlung von Lösegeld erpresst. Anfangs wurde dazu meist der Zugang zum Rechner blockiert, inzwischen sind die Cyberkriminellen dazu übergegangen, Dateien zu verschlüsseln. Anfangs nur auf der lokalen Festplatte, werden inzwischen alle vom angegriffenen Benutzer erreichbare Dateien verschlüsselt, etwa auch die auf Netzwerklaufwerken.

Meist kommen für die Verschlüsselung sichere, bewährte Krypto-Algorithmen zum Einsatz, an denen sich sogar die NSA die Zähne ausbeißt. Die einzige Möglichkeit, diese Dateien wieder zu entschlüsseln, besteht theoretisch in der Zahlung des Lösegelds. Das ist aber keinesfalls zu empfehlen, denn im Idealfall befinden sich alle wichtigen Dateien hoffentlich im Backup, sodass sie sich nach dem Entfernen der Ransomware oder der Neuinstallation des Systems einfach wiederherstellen lassen. Es empfiehlt sich daher immer, ein Backup nicht einfach auf ein Netzlaufwerk zu legen, da es dort selbst zum Opfer von Ransomware werden kann.

SynoLocker: Aus dem Internet direkt aufs NAS
Lange Zeit ging ein Ransomware-Angriff immer von einem infizierten Rechner aus. Im August 2014 gab es die ersten Angriffe auf NAS-Geräte direkt aus dem Internet heraus. Ziel dieser Angriffe waren erneut Geräte von Synology. Dabei nutzten die Angreifer eine bereits im Dezember 2013 behobene Schwachstelle im Remote-Access-Feature aus, um sich Zugriff auf die Geräte zu verschaffen. Gefährdet waren also nur NAS mit veralteter Firmware.

Nachdem die Angreifer Zugriff auf das NAS haben, installieren sie ihre SynoLocker genannte Ransomware. Die verschlüsselt alle Dateien mit Extensions, die auf einer fest kodierten Liste enthalten sind:

.7z | .3fr | .accdb | .ai | .arw | .av | .bay | .bkf | .cdr | .cer | .cr | .dbf | .dcr | .ddrw | .der | .djvu | .dng | .do | .dwg | .dx | .eps | .eml | .erf | .gif | .gpg | .ico | .ind | .jp | .kd | .mbx | .md | .mef | .pmg | .mrw | .mp | .nef | .nrw | .od | .orf | .p12 | .p7b | .p7c | .pas | .pd | .pe | .pfx | .php | .potx | .pp | .ps | .ptx | .r3d | .ra | .rtf | .rw | .sda | .sfx | .sld | .sql | .sr | .text | wallet. | .wb2 | .wp | .xl | .zip

Dabei muss nur der Anfang der Extension auf der Liste stehen. Es werden zum Beispiel sowohl DOC- als auch DOCX-Dateien kodiert, da die Liste den Eintrag ".do" enthält. Nach der Verschlüsselung taucht eine Lösegeldforderung auf dem Bildschirm auf. Das Opfer soll das Tor Browser Bundle installieren und eine bestimmte Website im Tor-Netzwerk aufrufen. Dort gibt es dann weitere Anweisungen: 0,6 Bitcoin (damals rund 350 US-Dollar) sind an ein angegebenes Bitcoin-Wallet zu schicken. Nach Erhalt der Zahlung wollen die Cyberkriminellen dann den für die Entschlüsselung der Dateien benötigten Schlüssel preisgeben. Das entspricht dem üblichen Muster bei Ransomware, die Cyberkriminellen haben das für Windows-Schädlinge bewährte Konzept einfach auf das NAS übertragen.

Malware-Verschlüsselung kaum zu knacken
Auf der Webseite erhalten die Opfer Informationen über die durchgeführte Verschlüsselung. Die Dateien selbst werden mit AES verschlüsselt, der dafür verwendete Schlüssel mit einem öffentlichen RSA-Schlüssel. Der zugehörige private Schlüssel, mit dem sich der verschlüsselte AES-Schlüssel entschlüsseln lässt, ist nur auf dem Server der Cyberkriminellen gespeichert und wird von diesen erst nach Zahlung des Lösegelds herausgegeben.

F-Secure hat die Arbeitsweise von SynoLocker analysiert. Die Verschlüsselung beginnt damit, dass auf dem Server der Cyberkriminellen ein individuelles RSA-Schlüsselpaar mit 2048 Bit Länge erzeugt wird. Der öffentliche Schlüssel wird dann an das mit SynoLocker infizierte Gerät geschickt, der private Schlüssel auf dem Server gespeichert. Der für die Schlüsselbildung verwendete zufällig erzeugte String wird mit dem öffentlichen RSA-Schlüssel verschlüsselt zusammen mit der verschlüsselten Datei gespeichert. Die Originaldatei wird mit Zufallsdaten überschrieben, um das Restaurieren der Daten zu verhindern.

Nachdem der zufällige String und der damit gebildete AES-Schlüssel aus dem Speicher des NAS gelöscht wurden, gibt es nur noch eine Möglichkeit, die Dateien wieder zu entschlüsseln: Der zufällige String muss mit dem privaten RSA-Schlüssel entschlüsselt werden. Und den kennen nur die Cyberkriminellen.

    Seite 1: Geld her, oder Ihre Daten sind weg
    Seite 2: So schützen Sie Ihr NAS


Seite 1 von 2 Nächste Seite >>


ln/Carsten Eilers

Ähnliche Beiträge

IT-Tage 2023 – Konferenz für Entwicklung, Datenbanken, DevOps, Security und KI

„Alles unter einem Dach!“ ist das Motto der IT-Tage, der Jahreskonferenz des Fachmagazins Informatik Aktuell. Unter anderem werden Subkonferenzen zu den Themen Software-Entwicklung und -Architektur, Datenbanken, DevOps, Cloud & Serverless, IT-Security, Künstliche Intelligenz, Java, Python oder .NET angeboten.

Datensicherheit durch Backupmonitoring und -reporting

Administratoren für den Bereich Datensicherung haben zunehmend mit einer fragmentierten Umgebung zu kämpfen. Backuptools erfüllen zudem die spezifischen Anforderungen bei Monitoring, Reporting und Audit häufig nicht zu 100 Prozent. Dies kann zu einem Mangel an Überblick und im schlimmsten Fall zu einem Kontrollverlust führen. Der Fachartikel beschreibt die vielfältigen Probleme, die sich hier ergeben und wie eine automatisierte Backupüberwachung Ordnung in das Chaos bringt.