QNAP: Maßnahmen zum Schutz vor NAS-Ransomware eCh0raix

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.949
qnap-logo.jpg
Der taiwanische Hersteller QNAP veröffentlicht aufgrund der Angriffe durch die Ransomware eCh0raix auf NAS-Geräte des Unternehmens eine Erklärung. Sobald besagte Ransomware ein System infiziert hat, beginnt eCh0raix damit, Benutzerdaten zu verschlüsseln und anschließend eine Lösegeldforderung für die Entschlüsselung der Daten zu verlangen. Der Hersteller rät aus diesem Grund allen QNAP-Benutzern, die NAS-Geräte mithilfe der genannten Maßnahmen im offiziellen QNAP-Sicherheitshinweis zu schützen. Gleichzeitig arbeitet QNAP nach eigenen Angaben bereits mit Hochdruck an einer Lösung zur Entfernung der Malware...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das wäre mit einem anständigen Filesystem nicht passiert ! ZFS z.B....revert auf den letzten Snapshot -> Sicher gegen jede Ransomware.
 
sch4kal schrieb:
Das wäre mit einem anständigen Filesystem nicht passiert ! ZFS z.B....revert auf den letzten Snapshot -> Sicher gegen jede Ransomware.
Zum Vergrößern anklicken....

Recht hast du, ich verstehe auch nicht warum QNAP noch auf kack EXT3/4 setzt. BTRFS/ZFS sind viel bessere Filesysteme.
Mit QES können sie es ja auch also ZFS, aber das gibt es erst ab Nas über 5000 bis über 10000€.
Sie sollten das auf jedenfalls mal ändern, dadruch fallen die Apps usw auch nicht weg...
 
kaiser schrieb:
Da braucht man natürlich genug Speicherplatz für.
Zum Vergrößern anklicken....

ZFS ist CopyOnWrite. Ein ZFS Snap entsteht nicht als Folge einer Kopieraktion (verdoppelt Platzverbrauch) sondern Aufgrund eines Einfrierens des Datenstandes bei einer Änderung eines ZFS Datenblocks (wobei ein neuer ZFS Datenblock angelegt wird).

10000 ZFS Snaps ohne Änderung der Daten = nahe 0 Byte Platzverbrauch. ZFS blockiert nach einem Snap lediglich die Daten die vor dem letzten Snap angelegt wurden. Ohne Snap würde dieser alte Datenblock zum Überschreiben freigegeben werden. Daher ist der ZFS Snap Platzverbrauch relativ gering sofern man nicht gerade einen Filer hat bei dem sich sehr viel ändert.
 
sch4kal schrieb:
Das wäre mit einem anständigen Filesystem nicht passiert ! ZFS z.B....revert auf den letzten Snapshot -> Sicher gegen jede Ransomware.
Zum Vergrößern anklicken....

Halte ich gegen... Die Software wird zumindest in Teilen per BruteForce angegriffen - und in anderen Teilen (scheinbar) durch Bugusing in alter Firmware. Egal wie man es dreht -> wer an den Admin User kommt, bekommt auch die Mittel die Snapshots zu killen.

Zumal die Qnap natürlich auch Snaphots kann. Also technisch lässt sich sowas schon nutzen für nen initialen Schutz. Obs aufgeht, weis ich nicht. Der Snapshot bzw. allgemein der Platzbedarf wird halt riesig, weil so ein Cryptotrojaner effektiv den ganzen Datenbestand durchschreibt.




Leider fehlt mir im Artikel auch hier so ziemlich jegliche Info über das WIE. Es gibt irgendwie keine Infos über den Weg der Infizierung. Muss die Büchse im Netz hängen? Muss die Büchse nur per LAN erreichbar sein und der Angreifer kommt per infitierter Website die aufgerufen wird? Wo läuft die Software, die da Brutforcet? Welche Softwareversionen sind betroffen? Ab welcher Version ist das Ding für diese Art Angriff sicher?
 
Diverse Ransomware für Windows killt die Schattenkopien gleich bei der Verschlüsselung.
Snapshots etc. nützen also u.U. gar nichts.
Das Einzige, was wirklich schützt, sind Offline-Backups.

So, wie es aussieht, wurde die Ransomware eCh0raix speziell für QNAP-Geräte entwickelt.
Der genaue Weg, wie die Ransomware auf das NAS kommt, ist bisher unbekannt.
Es scheinen bisher auch nur alte QTS-Versionen betroffen zu sein.
Die aktuellen 4.3.4 bzw. 4.4 scheinen bisher nicht betroffen zu sein.
The eCh0raix Ransomware | Anomali
 
Zuletzt bearbeitet:
passat3233 schrieb:
Diverse Ransomware für Windows killt die Schattenkopien gleich bei der Verschlüsselung.
Snapshots etc. nützen also u.U. gar nichts.
Zum Vergrößern anklicken....

Das sind aber zwei getrennte paar Schuhe.
Der normale User ist im privat Umfeld auf seinem Windows OS meist lokaler Admin - zudem gibts genügend immer wieder bekannt werdende Lücken zur privilege escalation und häufig auch ungepatchte oder schlecht gewartete Systeme. Es ist also keine Kunst bei Befall genügend Rechte zu erlangen um VSS auszuhebeln.

Bei einem NAS, oder generell einem externen Storage/Storage Server handhabt aber das Gerät die Snaps intern - der normale User wird auf die Freigaben verbinden und kann dort das machen, was ihm freigegeben ist. Wenn er nicht an die Admin-Zugriffe gelangt (und hier wäre die Frage, was der Schadcode genau macht -> Panik ist jetzt geschürt, Infos gibts halt quasi keine), passiert da exakt gar nichts. Selbst ein lokales Backup über ne externe Disk oder ein zweites NAS würde da schon helfen.

Zumal die Software auch immer erstmal da irgendwie ran kommen muss. Ein NAS hinter nem NAT Router ohne explizite Freigabe von Public aus -> wo soll der Angreifer da ansetzen? Der User muss da schon mitspielen. WENN er aber mitspielt, dann dürfte das/ein NAS noch ein geringeres Problem sein. Denn dann ist die Büchse einmal auf und die Möglichkeiten stehen weitreichend offen.
 
passat3233 schrieb:
Diverse Ransomware für Windows killt die Schattenkopien gleich bei der Verschlüsselung.
Snapshots etc. nützen also u.U. gar nichts.
Das Einzige, was wirklich schützt, sind Offline-Backups.

So, wie es aussieht, wurde die Ransomware eCh0raix speziell für QNAP-Geräte entwickelt.
Der genaue Weg, wie die Ransomware auf das NAS kommt, ist bisher unbekannt.
Es scheinen bisher auch nur alte QTS-Versionen betroffen zu sein.
Die aktuellen 4.3.4 bzw. 4.4 scheinen bisher nicht betroffen zu sein.
The eCh0raix Ransomware | Anomali
Zum Vergrößern anklicken....

Du meinst 4.3.6 oder 4.4.0 oder gar 4.4.1 Open Beta sind wohl save ?
Kein Plan wie die das immer hinbekommen, aber gerade Qnap Nas werden andauern irgendwie mit Viren verseucht.
Viele bekommen es garnicht mal mit, sie bekommen einfach keine Updates mehr, bekommen nen falschen malwareremover und der Virus schreibt sich immer in den Dom Speicher. Mein Qnap ist von außen nicht erreichbar aber das vom Kumpel schon und sein Nas wurde schon paar mal infiziert. Letztens hat sich ein Virus auf die Qnap ausgebreitet durch die VPN Software, da denkt man vpn sei sicher und auf einmal hat man dadurch nen Virus drauf. :d
 
QNAP kommt ja aus Taiwan und die haben ja Probleme mit der VR China.
Die VR China behauptet, das Taiwan zur VR China gehört und es nur abtrünnige Leute da hin verschlagen hat.
Die VR China nimmt übrigens auch keine diplomatischen Beziehungen zu Ländern auf, die Taiwan als Staat anerkennen.
Und da kann ich mir schon vorstellen, das aus der VR China heraus immer mal wieder Cyberangriffe auf Taiwan und/oder auf von taiwanesischen Herstellern produzierte Produkte stattfinden.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh