Fachartikel

NAS im Einsatz – einfach, aber unsicher?

Verwenden Sie ein NAS? Sie wissen schon, diese praktischen Netzwerkspeicher, um die Sie sich im Grunde nie kümmern müssen. Einmal ans Netzwerk angeschlossen, stellen sie massenhaft Speicherplatz zur Verfügung. Und das Beste daran: Ab Werk sind sie ohne großen Aufwand mit dem Internet verbunden, sodass Sie von überall auf Ihre gespeicherten Daten zugreifen können. Leider geht es mit zunehmender Verbreitung mit der Sicherheit bergab, denn Cyberkriminelle haben ein Auge auf das NAS anderer Leute geworfen. Wir erklären, wie Sie gängigen Angriffen wirkungsvoll einen Riegel vorschieben.
Wie jedes im Netzwerk stehender Rechner muss auch ein NAS gut gegen unerwünschten Zugriff geschützt werden.
Auch ein NAS kann Bitcoins minen: Der erste Angriff auf NAS-Systeme war noch relativ harmlos: Im Januar 2014 nutzten Cyberkriminelle eine Schwachstelle in der Firmware der Synologys DiskStation aus, um darauf einen Bitcoin-Miner zu installieren. Die reine Miner-Schadsoftware belastete zwar "nur" die CPU und manipulierte das Webinterfaces, um diese Belastung zu vertuschen. Eine Variante der Schadsoftware suchte aber auch nach Zugangsdaten und verbarg sich noch besser im System. Vermutlich wollten die Cyberkriminellen so auch nach der Installation eines Patches die Kontrolle über das NAS behalten. Synology veröffentlichte ein Firmware-Update, mit dem sich die Schwachstelle beheben ließ. Auf infizierten Systemen reichte die Installation des Updates jedoch nicht aus, um die Schadsoftware zu entfernen. Dafür war eine komplette Neuinstallation nötig.
Geld her, oder Ihre Daten sind weg
Als Ransomware wird jede Schadsoftware bezeichnet, die ihre Opfer zur Zahlung von Lösegeld erpresst. Anfangs wurde dazu meist der Zugang zum Rechner blockiert, inzwischen sind die Cyberkriminellen dazu übergegangen, Dateien zu verschlüsseln. Anfangs nur auf der lokalen Festplatte, werden inzwischen alle vom angegriffenen Benutzer erreichbare Dateien verschlüsselt, etwa auch die auf Netzwerklaufwerken.

Meist kommen für die Verschlüsselung sichere, bewährte Krypto-Algorithmen zum Einsatz, an denen sich sogar die NSA die Zähne ausbeißt. Die einzige Möglichkeit, diese Dateien wieder zu entschlüsseln, besteht theoretisch in der Zahlung des Lösegelds. Das ist aber keinesfalls zu empfehlen, denn im Idealfall befinden sich alle wichtigen Dateien hoffentlich im Backup, sodass sie sich nach dem Entfernen der Ransomware oder der Neuinstallation des Systems einfach wiederherstellen lassen. Es empfiehlt sich daher immer, ein Backup nicht einfach auf ein Netzlaufwerk zu legen, da es dort selbst zum Opfer von Ransomware werden kann.

SynoLocker: Aus dem Internet direkt aufs NAS
Lange Zeit ging ein Ransomware-Angriff immer von einem infizierten Rechner aus. Im August 2014 gab es die ersten Angriffe auf NAS-Geräte direkt aus dem Internet heraus. Ziel dieser Angriffe waren erneut Geräte von Synology. Dabei nutzten die Angreifer eine bereits im Dezember 2013 behobene Schwachstelle im Remote-Access-Feature aus, um sich Zugriff auf die Geräte zu verschaffen. Gefährdet waren also nur NAS mit veralteter Firmware.

Nachdem die Angreifer Zugriff auf das NAS haben, installieren sie ihre SynoLocker genannte Ransomware. Die verschlüsselt alle Dateien mit Extensions, die auf einer fest kodierten Liste enthalten sind:

.7z | .3fr | .accdb | .ai | .arw | .av | .bay | .bkf | .cdr | .cer | .cr | .dbf | .dcr | .ddrw | .der | .djvu | .dng | .do | .dwg | .dx | .eps | .eml | .erf | .gif | .gpg | .ico | .ind | .jp | .kd | .mbx | .md | .mef | .pmg | .mrw | .mp | .nef | .nrw | .od | .orf | .p12 | .p7b | .p7c | .pas | .pd | .pe | .pfx | .php | .potx | .pp | .ps | .ptx | .r3d | .ra | .rtf | .rw | .sda | .sfx | .sld | .sql | .sr | .text | wallet. | .wb2 | .wp | .xl | .zip

Dabei muss nur der Anfang der Extension auf der Liste stehen. Es werden zum Beispiel sowohl DOC- als auch DOCX-Dateien kodiert, da die Liste den Eintrag ".do" enthält. Nach der Verschlüsselung taucht eine Lösegeldforderung auf dem Bildschirm auf. Das Opfer soll das Tor Browser Bundle installieren und eine bestimmte Website im Tor-Netzwerk aufrufen. Dort gibt es dann weitere Anweisungen: 0,6 Bitcoin (damals rund 350 US-Dollar) sind an ein angegebenes Bitcoin-Wallet zu schicken. Nach Erhalt der Zahlung wollen die Cyberkriminellen dann den für die Entschlüsselung der Dateien benötigten Schlüssel preisgeben. Das entspricht dem üblichen Muster bei Ransomware, die Cyberkriminellen haben das für Windows-Schädlinge bewährte Konzept einfach auf das NAS übertragen.

Malware-Verschlüsselung kaum zu knacken
Auf der Webseite erhalten die Opfer Informationen über die durchgeführte Verschlüsselung. Die Dateien selbst werden mit AES verschlüsselt, der dafür verwendete Schlüssel mit einem öffentlichen RSA-Schlüssel. Der zugehörige private Schlüssel, mit dem sich der verschlüsselte AES-Schlüssel entschlüsseln lässt, ist nur auf dem Server der Cyberkriminellen gespeichert und wird von diesen erst nach Zahlung des Lösegelds herausgegeben.

F-Secure hat die Arbeitsweise von SynoLocker analysiert. Die Verschlüsselung beginnt damit, dass auf dem Server der Cyberkriminellen ein individuelles RSA-Schlüsselpaar mit 2048 Bit Länge erzeugt wird. Der öffentliche Schlüssel wird dann an das mit SynoLocker infizierte Gerät geschickt, der private Schlüssel auf dem Server gespeichert. Der für die Schlüsselbildung verwendete zufällig erzeugte String wird mit dem öffentlichen RSA-Schlüssel verschlüsselt zusammen mit der verschlüsselten Datei gespeichert. Die Originaldatei wird mit Zufallsdaten überschrieben, um das Restaurieren der Daten zu verhindern.

Nachdem der zufällige String und der damit gebildete AES-Schlüssel aus dem Speicher des NAS gelöscht wurden, gibt es nur noch eine Möglichkeit, die Dateien wieder zu entschlüsseln: Der zufällige String muss mit dem privaten RSA-Schlüssel entschlüsselt werden. Und den kennen nur die Cyberkriminellen.

    Seite 1: Geld her, oder Ihre Daten sind weg
    Seite 2: So schützen Sie Ihr NAS


Seite 1 von 2 Nächste Seite >>
18.01.2016/ln/Carsten Eilers

Nachrichten

Hybrides NAS [6.03.2020]

QNAP bringt mit dem "TS 1886XU-RP" ein neues NAS der Unternehmensklasse auf den Markt. Die Appliance dient als hybrides Speichergerät und bietet Platz für zwölf Festplatteneinschübe und sechs dedizierte SSDs. Das 2U-Rackmount-NAS ist mit einem Intel-Xeon-Prozessor der D-1600 Serie sowie DDR4-Error-Correcting-Code-Speicher ausgestattet. [mehr]

All-Flash-Speicher im Abo [6.03.2020]

Im Rahmen seines Subskriptionsmodells "Evergreen" stellt Pure Storage eine neue Version der Betriebsumgebung "Purity" für sein All-Flash-Produkt "FlashArray" vor. Laut Hersteller bietet Purity 5.3 unter anderem mehr Multi-Cloud-Unterstützung, eine verstärkte Sicherheitsfunktionalität und eine Verbesserungen der Quality-of-Service. [mehr]

Tipps & Tools

Das bringt 2020 für Flash-Speicher [12.03.2020]

In diesem Jahr wird Flash für noch mehr Workloads eingesetzt, die bisher auf HDD- oder Hybridsystemen betrieben wurden. Dazu gehören Tier-2-Anwendungsfälle, Big-Data-Analytik und die schnelle Wiederherstellung von immer größer werdenden geschäftskritischen Systemen und Datenbanken. Flash gewinnt außerdem in Hybrid-Cloud-Szenarien und als Scale-out-Speicherlösung mit Datei- und Objektspeicherung an Bedeutung. Der Fachartikel gibt einen Ausblick darauf, mit welchen Neuerungen im Bereich Flash 2020 zu rechnen ist. [mehr]

Download der Woche: Meld [15.10.2019]

Bei der Systemwartung finden sich immer wieder doppelt vorhandene Dateien und Ordner unter Windows. Diese sorgen nicht nur für Verwirrung, sondern rauben auch Zeit beim Säubern der Struktur auf dem Rechner. Mit dem kostenfreien Tool "Meld" lassen sich durch einen sogenannten "Zwei- und Drei-Wege-Vergleich" sowohl von Files als auch Verzeichnissen die nicht mehr benötigten Daten ermitteln. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen