11
Möglichkeiten von Verschlüsselungstrojanern bei Netzwerkfreigaben
Hallo zusammen,
ich hätte gerne mal eine Einschätzung:
Kann eine Malware (konkret: Verschlüsselungstrojaner), die auf einem Computer aktiv geworden ist, auf eine Freigabe zugreifen, wenn ein anderer Windows-Benutzer als der, unter dessen Kontext der Trojaner aktiv geworden ist, Zugriff auf diese Freigabe hat? Dieser andere Benutzer wird nicht für die interaktive Anmeldung verwendet, unter ihm läuft aber ein Dienst (Backupprogramm).
Danke im Voraus,
Sarek \\//_
ich hätte gerne mal eine Einschätzung:
Kann eine Malware (konkret: Verschlüsselungstrojaner), die auf einem Computer aktiv geworden ist, auf eine Freigabe zugreifen, wenn ein anderer Windows-Benutzer als der, unter dessen Kontext der Trojaner aktiv geworden ist, Zugriff auf diese Freigabe hat? Dieser andere Benutzer wird nicht für die interaktive Anmeldung verwendet, unter ihm läuft aber ein Dienst (Backupprogramm).
Danke im Voraus,
Sarek \\//_
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 434148
Url: https://administrator.de/contentid/434148
Printed on: April 18, 2024 at 20:04 o'clock
11 Comments
Latest comment
Hallo,
ich denke solange "EnableLinkedConnections" in der Registry nicht aktiv ist, sind die Laufwerke im jeweiligen Benutzerkonktext verbunden.
Aber 100% sicher kann ich es auch nicht sagen.
Gruß
bloody
ich denke solange "EnableLinkedConnections" in der Registry nicht aktiv ist, sind die Laufwerke im jeweiligen Benutzerkonktext verbunden.
Aber 100% sicher kann ich es auch nicht sagen.
Gruß
bloody
Hallo,
grundsätzlich nein, aber...
Der Trojaner wird ja in einem Benutzerkontext aktiv und läuft mit dessen Rechten.
Er kann durchaus Informationen über Netzwerklaufwerke von anderen Benutzern auslesen.
Auch kann er die ARP-Tabelle auslesen um zu erkennen mit wem der Client so spricht.
Er kann über den UNC-Pfad auf den Server zugreifen. Wenn er dort keinen Zugriff erhält, kann er nichts machen.
Auch kann er einen IP-Scan machen und mal alles ausprobieren.
Ganz anders sieht das aus, wen der kompromitierte Benutzer Administrator ist, dann kann das Dinge lokal so ziemlich alles erreichen.
Auf Freigaben weiterhin nicht.
Wenn der Benutzer lokaler und AD-Admin ist, ist eh alles verloren.
Ich benutzte meinen Browser mit einem anderen Benutzer der nur lokal Zugriff als Benutzer hat.
100% Schutz gibt es aber nie und Sicherheitslücken immer mal.
Stefan
grundsätzlich nein, aber...
Der Trojaner wird ja in einem Benutzerkontext aktiv und läuft mit dessen Rechten.
Er kann durchaus Informationen über Netzwerklaufwerke von anderen Benutzern auslesen.
Auch kann er die ARP-Tabelle auslesen um zu erkennen mit wem der Client so spricht.
Er kann über den UNC-Pfad auf den Server zugreifen. Wenn er dort keinen Zugriff erhält, kann er nichts machen.
Auch kann er einen IP-Scan machen und mal alles ausprobieren.
Ganz anders sieht das aus, wen der kompromitierte Benutzer Administrator ist, dann kann das Dinge lokal so ziemlich alles erreichen.
Auf Freigaben weiterhin nicht.
Wenn der Benutzer lokaler und AD-Admin ist, ist eh alles verloren.
Ich benutzte meinen Browser mit einem anderen Benutzer der nur lokal Zugriff als Benutzer hat.
100% Schutz gibt es aber nie und Sicherheitslücken immer mal.
Stefan
Zitat von @StefanKittel:
Ganz anders sieht das aus, wen der kompromitierte Benutzer Administrator ist, dann kann das Dinge lokal so ziemlich alles erreichen.
Auf Freigaben weiterhin nicht.
Ganz anders sieht das aus, wen der kompromitierte Benutzer Administrator ist, dann kann das Dinge lokal so ziemlich alles erreichen.
Auf Freigaben weiterhin nicht.
Das reicht mir im Prinzip an Sicherheit. Solange er nicht auf die NAS-Freigabe kommt, ist das gewünschte Ziel (für diesen Fall) erreicht. Und da sich mit dem einzigen Benutzer, der Zugriff auf das NAS hat, niemand interaktiv anmeldet, sollte der ja auch nicht kompromittiert werden können. Oder doch?
Zitat von @SarekHL:
Das reicht mir im Prinzip an Sicherheit. Solange er nicht auf die NAS-Freigabe kommt, ist das gewünschte Ziel (für diesen Fall) erreicht. Und da sich mit dem einzigen Benutzer, der Zugriff auf das NAS hat, niemand interaktiv anmeldet, sollte der ja auch nicht kompromittiert werden können. Oder doch?
Im Grunde ja, aber sollte es eine Lücke im SMB-/NFS-Protokoll oder in deinem NAS geben, dann könnte der Trojaner auch dort hin.Das reicht mir im Prinzip an Sicherheit. Solange er nicht auf die NAS-Freigabe kommt, ist das gewünschte Ziel (für diesen Fall) erreicht. Und da sich mit dem einzigen Benutzer, der Zugriff auf das NAS hat, niemand interaktiv anmeldet, sollte der ja auch nicht kompromittiert werden können. Oder doch?
Ich glaube aber nicht das ein Verschlüsselungstrojaner das machen wird, die wollen schnell Geld verdienen und dann abtauchen.
Aber sollte ein Geheimdienst oder so bei dir was suchen, halte ich das nicht für unmöglich.
Hallo,
mein Datensicherungskonzept für KMU sieht ein NAS als primäres SIcherungsziel vor.
Nur die Datensicherungssoftware am Server hat die Zugangsdaten gespeichert. Kein Benutzer, auch nicht der Administrator, hat Schreibzugriff auf das NAS und die Freigabe ist versteckt.
Der Trojaner müßte also an einem PC mit eingeschränkten Benutzerrechten aktiv werden, sich auf den Server hacken, dort den Speicher der Datensicherungssoftware hacken und kann dann erst das NAS hacken.
Dazu gibt es USB-Festplatten als sekundäres Datensicherungsziel die offline im Schrank liegen.
Viele Grüße
Stefan
mein Datensicherungskonzept für KMU sieht ein NAS als primäres SIcherungsziel vor.
Nur die Datensicherungssoftware am Server hat die Zugangsdaten gespeichert. Kein Benutzer, auch nicht der Administrator, hat Schreibzugriff auf das NAS und die Freigabe ist versteckt.
Der Trojaner müßte also an einem PC mit eingeschränkten Benutzerrechten aktiv werden, sich auf den Server hacken, dort den Speicher der Datensicherungssoftware hacken und kann dann erst das NAS hacken.
Dazu gibt es USB-Festplatten als sekundäres Datensicherungsziel die offline im Schrank liegen.
Viele Grüße
Stefan
Moin,
Darum wird aus meiner Sicht Applocker & Co immer wichtiger, um solche intelligenten Malware einhalt zu bieten.
Gruß,
Dani
Kann eine Malware (konkret: Verschlüsselungstrojaner), die auf einem Computer aktiv geworden ist, auf eine Freigabe zugreifen, wenn ein anderer Windows-Benutzer als der, unter dessen Kontext der Trojaner aktiv geworden ist, Zugriff auf diese Freigabe hat?
Oh ja. Gerade Programm welche z.B. nicht unter C:\Programme installiert werden düfen sondenr direkt auf C:\ können dir mächtig Probleme bereiten. Sobald normale Benutzer auf solche Verzeichnisse Schreibzugriff hat, ist es eigentlich vorbei. Wir haben schon Malware gesehen, welche einfach die EXE ersetzt hat. Somit spielt der Benutzerkontext keine Rolle mehr.Darum wird aus meiner Sicht Applocker & Co immer wichtiger, um solche intelligenten Malware einhalt zu bieten.
Gruß,
Dani
Jup mach ich genauso, nur die Backup-Software selber kennt die Share-Credentials. Seit den Ransomware Trojanern hänge ich NAS Systeme auch nicht mehr in Domänen ein.
Zitat von @Deepsys:
Im Grunde ja, aber sollte es eine Lücke im SMB-/NFS-Protokoll oder in deinem NAS geben, dann könnte der Trojaner auch dort hin.
Im Grunde ja, aber sollte es eine Lücke im SMB-/NFS-Protokoll oder in deinem NAS geben, dann könnte der Trojaner auch dort hin.
Dann ist es aber davon unabhängig, ob es einen entsprechenden Windows-Benutzer mit Zugriffsrechten auf das NAS gibt. Das es keine absolute Sicherheit gibt, ist mir klar.
Zitat von @StefanKittel:
Nur die Datensicherungssoftware am Server hat die Zugangsdaten gespeichert. Kein Benutzer, auch nicht der Administrator, hat Schreibzugriff auf das NAS und die Freigabe ist versteckt.
Nur die Datensicherungssoftware am Server hat die Zugangsdaten gespeichert. Kein Benutzer, auch nicht der Administrator, hat Schreibzugriff auf das NAS und die Freigabe ist versteckt.
Das war bei mir bzw. meiner Kundin bis vor kurzem auch so. Sie hatte Z-DBackup im Einsatz. Allerdings hatte Z-DBackup Probleme mit der Imagesicherung (Disaster- bzw. Bare-Metal-Recovery). Der Support von denen scheint nicht zu existieren, ich hatte über Wochen mehrfach versucht, den zu kontaktieren, es gab nicht mal eine Rückmeldung nach dem Motto "ist angekommen, wir kümmern uns drum".
Momentan teste ich NovaBACKUP. Das Programm scheint recht gut zu sein. Für das Backup kann man tatsächlich die Anmeldedaten zum Sicherungsziel im Programm hinterlegen. Das Konzept wurde aber nicht sauber zuende geführt. Schon für das Überprüfen der Sicherung muss man einen Windows-Benutzer haben, der auf das NAS zugreifen kann. Gut, da ist es kein Problem, weil man da nur Lesezugriff benötigt. Aber auch das "Aufräumen" (also Löschen der jeweils ältesten Sicherung über die Anzahl der aufzubewahrenden Sicherungen hinaus) funktioniert nicht mit den im Programm hinterlegen Anmeldedaten, sondern benötigt einen Windows-Benutzer mit Schreibrechten auf das NAS.
Welches Backup-Programm verwendest Du? Übrigens ist eine der Anforderungen, dass das Backup verschlüsselt sein muss, da es vom NAS regelmäßig auf eine externe Festplatte synchronisiert wird. Daher kann ich leider nicht einfach sagen, dass ich Z-DBackup weiterverwende und die Imagesicherung mit Windows Server Backup mache.
NovaBACKUP hatte ich vor kurem ausprobiert, habe ich aber auf einem sauberen neuem PC nicht stabil zum laufen gebracht.
Ich verwende bei den meisten Kunden StorageCraft ShadowProtect und Veeam (wenn der Kunde es bezahlt).
Mit SC bin ich beim DesasterRecovery nicht soo glücklich. Aber es funktikoniert mit VMs und physikalischen PCs/Servern.
Ich habe bis Heute aber nichts besseres gefunden.
Acronis und Backup Exec stehen bei auf der schwarzen Liste.
Ich verwende bei den meisten Kunden StorageCraft ShadowProtect und Veeam (wenn der Kunde es bezahlt).
Mit SC bin ich beim DesasterRecovery nicht soo glücklich. Aber es funktikoniert mit VMs und physikalischen PCs/Servern.
Ich habe bis Heute aber nichts besseres gefunden.
Acronis und Backup Exec stehen bei auf der schwarzen Liste.
Zitat von @StefanKittel:
NovaBACKUP hatte ich vor kurem ausprobiert, habe ich aber auf einem sauberen neuem PC nicht stabil zum laufen gebracht.
NovaBACKUP hatte ich vor kurem ausprobiert, habe ich aber auf einem sauberen neuem PC nicht stabil zum laufen gebracht.
Doch bei mir läuft es stabil. Aber wie gesagt, man braucht Windows-User mit Zugriffsrechten auf das Sicherungsziel. Das habe ich auch erst vom Support erfahren.
Ich verwende bei den meisten Kunden StorageCraft ShadowProtect und Veeam (wenn der Kunde es bezahlt).
Was kostet der Spaß? StorageCraft veröffentlicht leider keine Preise auf der WebSite ... nervig
