NAS-Geräte im Visier von Cyberkriminellen

Originalartikel von Stephen Hilt, Fernando Merces, Threat Researchers

Die Bedrohungen für das Internet of Things (IoT) entwickeln sich weiter, denn Benutzer und Unternehmen sind zunehmend auf diese Geräte angewiesen, um eine kontinuierliche Konnektivität, den Zugriff auf Informationen und Daten sowie die Kontinuität von Arbeitsabläufen zu gewährleisten. Cyberkriminelle aktualisieren regelmäßig ihre bekannten Tools und Routinen. Sie nehmen Network-Attached-Storage-Geräte (NAS) in ihre Liste der Angriffsziele auf, wohl wissend, dass die Anwender auf diese Geräte zum Speichern und Sichern von Dateien angewiesen sind. Wichtiger noch: Sie wissen auch, dass diese Geräte wertvolle Informationen enthalten und nur über minimale Sicherheitsmaßnahmen verfügen. Wir haben die aktuelle Infrastruktur, die Umgebung und die Bedrohungen untersucht und halten Empfehlungen für die Verteidigung von Systemen gegen diese Bedrohungen für NAS-Geräte bereit.

Basierend auf kürzlich dokumentierten Angriffsszenarien haben wir die folgenden Bedrohungen ausgemacht, die auf NAS-Geräte von Benutzern und Unternehmen zielen:

  • Ransomware: NAS-Geräte sind anfällig sowohl für traditionelle als auch moderne Ransomware-Arten. Die auffälligsten Routinen, die wir in den letzten Monaten beobachtet haben, waren die für Qlocker, REvil, eCh0raix und DarkSide. Alle Familien und Varianten suchen potenzielle Eintrittspunkte über Schwachstellen und Konfigurationen in den Linux-basierten Plattformen, was darauf hindeutet.
  • Botnets: Botnet-Infektionen und -Angriffe sind bereits seit 2016 in IoT-Geräten weit verbreitet, vor allem weil die Botnets in der Lage sind, Infektionen auf so viele Hosts wie möglich zu verbreiten und somit die zahlreichen Ziele der Kriminellen zu unterstützen, z. B. Starten von DDoS-Angriffen (Distributed Denial of Service). NAS-Geräte sind ideal dafür, da sie nur über minimale Sicherheitsvorkehrungen und Schutzmechanismen verfügen. Darüber hinaus können selbst ältere Malware-Typen und Infektionen in diesen IoT-Geräten aufgrund fehlender Patches jahrelang unentdeckt bleiben.
  • Cryptomining: NAS-Geräte sind aufgrund von Sicherheitslücken in den Softwareversionen und nicht implementierter Updates nach wie vor anfällig für illegale Kryptowährungs-Mining-Angriffe. Krypto-Miner können Secure Socket Shell (SSH)-Zugangsdaten über Brute Force knacken. Manche finden es nur als lästig, dass Coinminer wie UnityMiner und Dovecat ihre NAS-Ressourcen nutzen, doch sind diese Miner in Wirklichkeit ein Symptom für ein größeres Sicherheitsproblem und können für bösartigere Aktivitäten genutzt werden.
  • Hochgradig gezielte Angriffe: Als Backup-Speichergerät sind NAS-Geräte Repositories wertvoller Informationen und können auch Ziele von Advanced Persistent Threats (APTs) wie QSnatch (alias Derek) sein, einer Malware-Familie, die sich speziell auf QNAP NAS-Geräte konzentriert. QSnatch ist mit seiner Persistenz und Funktionen zur Umgehung der Erkennung sehr ausgeklügelt und wird wahrscheinlich als eine Art Waffe für Cyberspionage eingesetzt.

In unserem Whitepaper „Backing Your Backup: Defending NAS Devices Against Evolving Threats machen wir deutlich, wie wichtig es ist, die Risiken von Malware-Infektionen und gezielten Angriffen auf NAS-Geräte zu minimieren. Zudem haben wir als Beispiel zwei Malware-Familien analysiert: die REvil-Ransomware und die StealthWorker-Botnets.

REvil

Das Verschwinden von REvil (auch bekannt als Sodinokibi) Mitte 2021 istmit Ungewissheiten verbunden. Sicherheitsforscher haben eine Linux-Version entdeckt, die sie Revix genannt haben. Nach der Analyse der Samples fanden wir vier verschiedene Versionen der Malware, die alle auf einer eingebetteten, auf JavaScript Observed Notation (JSON) basierenden Konfiguration beruhen, um Parameter festzulegen, bevor sie Dateien verschlüsseln. Technische Einzelheiten dazu liefert der Originalbeitrag.

Die Unterschiede zwischen den Versionen sind zwar gering, aber die Gruppe warb bereits im Mai 2021 in Untergrundforen mit der Möglichkeit, NAS-Geräte zu verschlüsseln. Angesichts der Anfälligkeit von NAS-Geräten, die direkt mit dem Internet verbunden sind, können wir in Zukunft mit einer neuen Welle von Ransomware-Angriffen auf diese Geräte rechnen.

StealthWorker

2021 entdeckten Sicherheitsforscher Brute-Force-Angriffe, die vom StealthWorker-Botnet auf Synology NAS-Geräte gestartet wurden. Wir fanden mehrere Samples für dieses Botnet und konnten bestätigen, dass neuere Versionen in der Lage sind, Brute-Force-Angriffe durchzuführen und Server zu kompromittieren, die auf verschiedenen Produkten und Systemen wie WooCommerce und WordPress laufen. Dieses Botnet ist außerdem so konzipiert, dass es generell jeden Webserver mit HTTP-Authentifizierung und andere NAS-Geräte wie QNAP angreift. Gültige Anmeldeinformationen, die während der Kompromittierung gefunden werden, laden die Kriminellen anschließend auf den Command-and-Control (C&C)-Server hoch, normalerweise über Port 5028/TCP.

Schutz für NAS-Geräte

Ohne die Implementierung angemessener Sicherheitsvorkehrungen in NAS-Geräten werden Unternehmen weiterhin ins Visier von Angriffen geraten, da diese Tools unter anderem als Einstiegspunkte für Informationsdiebstahl, Malware-Infektionen und Betriebsunterbrechungen genutzt werden können. Im Folgenden finden Sie einige bewährte Verfahren zum Schutz vor Bedrohungen, die die Lücken in Ihren NAS-Geräten ausnutzen:

  • Vermeiden Sie es, ein NAS-Gerät direkt mit dem Internet zu verbinden.
  • Ändern Sie regelmäßig die Anmeldedaten für den Zugriff. Verwenden Sie niemals die vor eingestellten Standard-Anmeldedaten, die mit dem Gerät geliefert werden, da diese bösartigen Akteuren bekannt sind.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für zusätzliche Sicherheit.
  • Deinstallieren Sie Anwendungen, Software und Dienste, die nicht mehr verwendet werden, da diese als Einstiegspunkte missbraucht werden können.
  • Prüfen Sie regelmäßig die Online-Sicherheitsleitfäden der NAS-Hersteller, wie z. B. die empfohlenen Best Practices von Synology und die kürzlich veröffentlichten Vorschläge von QNAP dazu, wie Sie Ihre Geräte vor zusätzlichen Angriffen im Internet schützen können.

Weitere technische Details, Bedrohungen, Erkenntnisse und Empfehlungen zum Schutz eines NAS-Geräts beinhaltet unsere Studie „Backing Your Backup: Defending NAS Devices Against Evolving Threats“.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.