Fachartikel

NAS im Einsatz – einfach, aber unsicher?

Verwenden Sie ein NAS? Sie wissen schon, diese praktischen Netzwerkspeicher, um die Sie sich im Grunde nie kümmern müssen. Einmal ans Netzwerk angeschlossen, stellen sie massenhaft Speicherplatz zur Verfügung. Und das Beste daran: Ab Werk sind sie ohne großen Aufwand mit dem Internet verbunden, sodass Sie von überall auf Ihre gespeicherten Daten zugreifen können. Leider geht es mit zunehmender Verbreitung mit der Sicherheit bergab, denn Cyberkriminelle haben ein Auge auf das NAS anderer Leute geworfen. Wir erklären, wie Sie gängigen Angriffen wirkungsvoll einen Riegel vorschieben.
Wie jedes im Netzwerk stehender Rechner muss auch ein NAS gut gegen unerwünschten Zugriff geschützt werden.
Auch ein NAS kann Bitcoins minen: Der erste Angriff auf NAS-Systeme war noch relativ harmlos: Im Januar 2014 nutzten Cyberkriminelle eine Schwachstelle in der Firmware der Synologys DiskStation aus, um darauf einen Bitcoin-Miner zu installieren. Die reine Miner-Schadsoftware belastete zwar "nur" die CPU und manipulierte das Webinterfaces, um diese Belastung zu vertuschen. Eine Variante der Schadsoftware suchte aber auch nach Zugangsdaten und verbarg sich noch besser im System. Vermutlich wollten die Cyberkriminellen so auch nach der Installation eines Patches die Kontrolle über das NAS behalten. Synology veröffentlichte ein Firmware-Update, mit dem sich die Schwachstelle beheben ließ. Auf infizierten Systemen reichte die Installation des Updates jedoch nicht aus, um die Schadsoftware zu entfernen. Dafür war eine komplette Neuinstallation nötig.
Geld her, oder Ihre Daten sind weg
Als Ransomware wird jede Schadsoftware bezeichnet, die ihre Opfer zur Zahlung von Lösegeld erpresst. Anfangs wurde dazu meist der Zugang zum Rechner blockiert, inzwischen sind die Cyberkriminellen dazu übergegangen, Dateien zu verschlüsseln. Anfangs nur auf der lokalen Festplatte, werden inzwischen alle vom angegriffenen Benutzer erreichbare Dateien verschlüsselt, etwa auch die auf Netzwerklaufwerken.

Meist kommen für die Verschlüsselung sichere, bewährte Krypto-Algorithmen zum Einsatz, an denen sich sogar die NSA die Zähne ausbeißt. Die einzige Möglichkeit, diese Dateien wieder zu entschlüsseln, besteht theoretisch in der Zahlung des Lösegelds. Das ist aber keinesfalls zu empfehlen, denn im Idealfall befinden sich alle wichtigen Dateien hoffentlich im Backup, sodass sie sich nach dem Entfernen der Ransomware oder der Neuinstallation des Systems einfach wiederherstellen lassen. Es empfiehlt sich daher immer, ein Backup nicht einfach auf ein Netzlaufwerk zu legen, da es dort selbst zum Opfer von Ransomware werden kann.

SynoLocker: Aus dem Internet direkt aufs NAS
Lange Zeit ging ein Ransomware-Angriff immer von einem infizierten Rechner aus. Im August 2014 gab es die ersten Angriffe auf NAS-Geräte direkt aus dem Internet heraus. Ziel dieser Angriffe waren erneut Geräte von Synology. Dabei nutzten die Angreifer eine bereits im Dezember 2013 behobene Schwachstelle im Remote-Access-Feature aus, um sich Zugriff auf die Geräte zu verschaffen. Gefährdet waren also nur NAS mit veralteter Firmware.

Nachdem die Angreifer Zugriff auf das NAS haben, installieren sie ihre SynoLocker genannte Ransomware. Die verschlüsselt alle Dateien mit Extensions, die auf einer fest kodierten Liste enthalten sind:

.7z | .3fr | .accdb | .ai | .arw | .av | .bay | .bkf | .cdr | .cer | .cr | .dbf | .dcr | .ddrw | .der | .djvu | .dng | .do | .dwg | .dx | .eps | .eml | .erf | .gif | .gpg | .ico | .ind | .jp | .kd | .mbx | .md | .mef | .pmg | .mrw | .mp | .nef | .nrw | .od | .orf | .p12 | .p7b | .p7c | .pas | .pd | .pe | .pfx | .php | .potx | .pp | .ps | .ptx | .r3d | .ra | .rtf | .rw | .sda | .sfx | .sld | .sql | .sr | .text | wallet. | .wb2 | .wp | .xl | .zip

Dabei muss nur der Anfang der Extension auf der Liste stehen. Es werden zum Beispiel sowohl DOC- als auch DOCX-Dateien kodiert, da die Liste den Eintrag ".do" enthält. Nach der Verschlüsselung taucht eine Lösegeldforderung auf dem Bildschirm auf. Das Opfer soll das Tor Browser Bundle installieren und eine bestimmte Website im Tor-Netzwerk aufrufen. Dort gibt es dann weitere Anweisungen: 0,6 Bitcoin (damals rund 350 US-Dollar) sind an ein angegebenes Bitcoin-Wallet zu schicken. Nach Erhalt der Zahlung wollen die Cyberkriminellen dann den für die Entschlüsselung der Dateien benötigten Schlüssel preisgeben. Das entspricht dem üblichen Muster bei Ransomware, die Cyberkriminellen haben das für Windows-Schädlinge bewährte Konzept einfach auf das NAS übertragen.

Malware-Verschlüsselung kaum zu knacken
Auf der Webseite erhalten die Opfer Informationen über die durchgeführte Verschlüsselung. Die Dateien selbst werden mit AES verschlüsselt, der dafür verwendete Schlüssel mit einem öffentlichen RSA-Schlüssel. Der zugehörige private Schlüssel, mit dem sich der verschlüsselte AES-Schlüssel entschlüsseln lässt, ist nur auf dem Server der Cyberkriminellen gespeichert und wird von diesen erst nach Zahlung des Lösegelds herausgegeben.

F-Secure hat die Arbeitsweise von SynoLocker analysiert. Die Verschlüsselung beginnt damit, dass auf dem Server der Cyberkriminellen ein individuelles RSA-Schlüsselpaar mit 2048 Bit Länge erzeugt wird. Der öffentliche Schlüssel wird dann an das mit SynoLocker infizierte Gerät geschickt, der private Schlüssel auf dem Server gespeichert. Der für die Schlüsselbildung verwendete zufällig erzeugte String wird mit dem öffentlichen RSA-Schlüssel verschlüsselt zusammen mit der verschlüsselten Datei gespeichert. Die Originaldatei wird mit Zufallsdaten überschrieben, um das Restaurieren der Daten zu verhindern.

Nachdem der zufällige String und der damit gebildete AES-Schlüssel aus dem Speicher des NAS gelöscht wurden, gibt es nur noch eine Möglichkeit, die Dateien wieder zu entschlüsseln: Der zufällige String muss mit dem privaten RSA-Schlüssel entschlüsselt werden. Und den kennen nur die Cyberkriminellen.

    Seite 1: Geld her, oder Ihre Daten sind weg
    Seite 2: So schützen Sie Ihr NAS


Seite 1 von 2 Nächste Seite >>
18.01.2016/ln/Carsten Eilers

Nachrichten

DataCore virtualisiert weiter [15.11.2019]

DataCore ergänzt sein Software-defined-Storage-Portfolio um "vFilO". Mit der speziell für verteilte Datei- und Objektspeicher entwickelten Virtualisierungstechnologie will der Hersteller unter anderem bei der Skalierung punkten – möglich seien zwei Instanzen mit einigen TByte, aber auch Milliarden von Dateien, die über zahlreiche Knoten verteilt sind. [mehr]

Festplattenverschlüsselung auch ohne TPM [13.11.2019]

ESET hat sein Portfolio an Verschlüsselungslösungen für Unternehmen erweitert. Die neue "ESET Full Disk Encryption" codiert komplette Festplatten von Windows-Clients und -Notebooks auch ohne TPM-Chip. Administratoren können die Verschlüsselung in den Managementkonsolen des Herstellers aktivieren und anschließend dort überwachen. [mehr]

Tipps & Tools

Download der Woche: Meld [15.10.2019]

Bei der Systemwartung finden sich immer wieder doppelt vorhandene Dateien und Ordner unter Windows. Diese sorgen nicht nur für Verwirrung, sondern rauben auch Zeit beim Säubern der Struktur auf dem Rechner. Mit dem kostenfreien Tool "Meld" lassen sich durch einen sogenannten "Zwei- und Drei-Wege-Vergleich" sowohl von Files als auch Verzeichnissen die nicht mehr benötigten Daten ermitteln. [mehr]

Backupserver absichern [6.10.2019]

Backupserver spielen in vielen Unternehmen eine wichtige Rolle, wenn es darum geht, geschäftskritische Informationen mit einer Backup-Software vor dem Verlust zu schützen. Dieser Tipp verrät, wie sich der Backupserver mithilfe von Veritas Backup Exec am besten sichern und wiederherstellen lässt. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen