networkinghomer
Goto Top

Befall von Verschlüsselungstrojaner - wieso auch der Admin-Bereich betroffen?

Guten Tag!

Unser Windows-Netzwerk (Windows-Server 2010 R2) wurde nun von einem Verschlüsselungstrojaner heimgesucht. Alle Userlaufwerke sind verschlüsselt. Ich kenne den Server nicht, ich höre dies nur und frage mich, welche Ursachen dazu führen konnten. Besonders interessiert mich, wie der Trojaner den root-Bereich (z.B. das Backup) befallen konnte oder allgemein den Systemdateien-Bereich, wobei ich bei letzterem nicht sicher bin. Wenn ein User den Trojaner herunterlädt (warum auch immer), sollte man doch davon ausgehen, dass sich der Schaden auf den Bereich des Users beschränkt, auf den er Zugriff hat. Er kann überspringen auf den Bereich, den er sich mit anderen Usern teil. Er kann dann auf User-Ebene alles verschlüsseln. Aber wie kommt er in den Admin-Bereich hinein? Bei WonnaCry nutzte der Schädling eine Sicherheitslücke von Windows zu diesem Zweck. Aber die ist heutzutage geschlossen. Muss man davon ausgehen, dass erneut eine Sicherheitslücke missbraucht wurde, oder ist eher eine schlechte Trennung von Admin- und Userbereich die Ursache? Kann man das generell beantworten?

LG

Homer

Content-Key: 396031

Url: https://administrator.de/contentid/396031

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: H41mSh1C0R
H41mSh1C0R 18.12.2018 aktualisiert um 21:29:46 Uhr
Goto Top
Öhm es gibt z.B. immer mal Zero Day Lücken. Da kann dein Sicherheitskonzept 99% abdecken, wenn 1% zum kompromitieren ausreicht, wars das.

Egal ob im OS oder in irgendwelchen Anwendungen und am Ende des Tages brauchste dann keine Credentials mehr und kannst dich austoben.

Mit dem Ergebnis "ich verschlüssel mal alles".

VG
Mitglied: Spirit-of-Eli
Spirit-of-Eli 18.12.2018 um 21:33:29 Uhr
Goto Top
Moin,

man muss nicht gleich von irgend welchen Sicherheitslücken ausgehen.
Viel eher ist eine unsichere Konfiguration dafür verantwortlich.

Wer sein AD nicht härtet ist außerdem selbst schuld.
Tatsächlich bewusst wurde mir das auch erst vor kurzem, als mir ein Kollege diesbezüglich ein whitepaper gezeigt hat.
Mit ein bisschen Arbeit kann man sich da schon durchhangeln.

Viel wichtiger ist allerdings eine strikte Berechtigungsstruktur.
Dazu gehören eben auch File-Server usw.

Gruß
Spirit
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.12.2018 um 21:34:58 Uhr
Goto Top
Hallo Homer,

so wie du fragst ist das Netz einfach nicht gut konstruiert. Klar, kann passieren. Aber bspw dass der Trojaner auch das Backup befallen kann spricht Bände. (keine guten).

VG
Mitglied: StefanKittel
StefanKittel 18.12.2018 um 23:04:10 Uhr
Goto Top
Hallo,

man findet auch immer mal wieder fremde Administratoren.
Die hat irgendjemand, Mitarbeiter, Externes IT-Personal oder externe Fachkräfte für Kopierer oder andere Geräte oder Software mit gutem Gewissen eingerichtet.
Wenn dann aber ein Benutzer mit dem Namen "ricoh" und dem Kennwort "geheim" sich auf vielen Server befindet ist das "nicht gut".

Oder Software mit Sicherheitslücken. Muss ja nicht Windows sein.
Ein uralter FTP- oder Web-Server mit reicht ja aus.

Stefan
Mitglied: Dani
Dani 19.12.2018 um 01:05:12 Uhr
Goto Top
Moin,
Wenn dann aber ein Benutzer mit dem Namen "ricoh" und dem Kennwort "geheim" sich auf vielen Server befindet ist das "nicht gut".
dad ginge ja noch... aber wir hatten eine IT-Dienstleister im Haus, der hat temporär für 4-5 Wochen ein Sicherungsverzeichnis für eine kl. Anwendung anlegt und gleich "Jeder" den Vollzugriff gegeben. Begründung war: Das er arbeiten kann.

Wenn ein User den Trojaner herunterlädt (warum auch immer), sollte man doch davon ausgehen, dass sich der Schaden auf den Bereich des Users beschränkt, auf den er Zugriff hat
Kann muss aber nicht. Es gibt inzwischen intelligente Schadsoftware, welche auch gerne wartet bis ein Benutzer mit administrativen Rechten sich anmeldet (Stichwort Silver bzw. Golden Ticket). Darum meldet man sich nie, nie, nie mit einem Domänen-Admin an einem Rechner an. Bei Servern auch nur, wenn es nicht anders geht (z.B. Schemaerweiterung Active Directory). Ansonst hat man seine eigenen administrativen Benutzern. Wobei bei Server die Frage ist, müssen die überhaupt ins Internet kommen und wenn Ja sollte man Outbound Firewall betreiben. Ich weiß, lästig zäh arbeitsintensiv aber da fängt Sicherheit nun mal an. Was nicht ins Internet kommt, kann auch keine Viren nachladen bzw. herunterladen.

Aber die ist heutzutage geschlossen.
Du Optimist... schau dich in Unternehmen um. Ich habe leider ab und zu das Pech. Da wird es mir manchmal richtig übel. Da geht's zum Teil und kritische Infrastrukturen oder Firmen im Rüstungsbereich. Da meint man mit Firewall und Filter wäre man sicher. Teils höre Begründungen, wo ich mir denke "Hmpf, war ich früher (Ausbildung/Studium) zu oft Frühstück holen? Kann nicht wahr sein."


Gruß,
Dani
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 19.12.2018 aktualisiert um 07:06:39 Uhr
Goto Top
Zitat von @NetworkingHomer:

Guten Tag!

Befall von Verschlüsselungstrojaner - wieso auch der Admin-Bereich betroffen?


Besonders interessiert mich, wie der Trojaner den root-Bereich (z.B. das Backup) befallen konnte oder allgemein den Systemdateien-Bereich, wobei ich bei letzterem nicht sicher bin.

Moin,

Sowas passiert, wenn die Malware neue Lücken nutzt oder der Admin seinen Job zu nachlässig macht oder nicht machen darf, weil das den Usern oder dem Cheffe zu unbequem ist.

Insbesondere "erlaube alles, damit die total wichtige Software läuft" ist ein beliebtes Einfallstor. Oder manche Cheffes wollen Admin-Rechte, egal ob sie sie brauchen oder nicht und auf Empfang von Office-Dokumenten bestehen.

lks

PS: Wenn auch das Backup befallen wurde, ist das Backup-Konzept Murks.
Mitglied: NetworkingHomer
NetworkingHomer 19.12.2018 um 18:30:59 Uhr
Goto Top
Hallo!

Ja, das leuchtet mir alles ziemlich ein. Es sieht so aus, als wenn der Trojaner sich via RDP verbreitet hat. Ein Rechner mit Adminrechten soll angeschaltet gewesen sein, natürlich mit Internetzugriff. Das könnte der Kardinalfehler gewesen sein, oder?

Angeblich hat de Trojaner die Firewall ausgeschaltet und dann fleißig nachgeladen. Wir er das gemacht haben soll, ist mir noch schleierhaft. Wie kann es sein, dass dies so einfach möglich ist?

Der Trojaner wird derzeit mit Standard-Virensoftware bekämpft, weil sie ihn erkennt. Da frage ich mich: Kann man nicht auf so einem AD-Server von vornherein so einen Virenscanner laufen lassen, der den Trojaner gleich weggeputzt hätte?

Wie das Patchlevel war, weiß ich nicht. Ich hoffe, war aktuell.

Das Backupkonzept hat dann wohl wirklich seinen Namen nicht verdient. Jedem Laien ist denke ich klar, dass man regelmäßig einen Datenträger auch mal weglegen muss ... tja. Es gibt auch eine Heise-Show zum Thema, ca. 1 Jahr alt. Da wird klar empfohlen, einen Backupuser zu nehmen, der nur für das Backup zuständig ist.

Danke für die bisherigen Antworten! Es gibt Schlimmeres, aber eigentlich sollte man sich nicht mit Schlimmeren aufmuntern...

LG

Homer
Mitglied: 129580
129580 19.12.2018 aktualisiert um 18:52:20 Uhr
Goto Top
Guten Abend,

Ein Rechner mit Adminrechten soll angeschaltet gewesen sein, natürlich mit Internetzugriff.

Was meinst du damit? Ein "Computer mit Adminrechten" gibt es nicht. Du meinst wohl, dass ein Benutzer mit Adminrechten aktiv war? face-wink

Angeblich hat de Trojaner die Firewall ausgeschaltet und dann fleißig nachgeladen. Wir er das gemacht haben soll, ist mir noch schleierhaft. Wie kann es sein, dass dies so einfach möglich ist?

Sehr einfach, wenn die Anwendung mit Admin Rechten gestartet wurde, denn die Anwendung darf ja alle administrativen Tätigkeiten durchführen. Ich halte es sehr für unwahrscheinlich das die Schadsoftware eine Sicherheitslücke im BS ausnutzt, um an Admin Rechte zu gelangen. Insbesondere wenn ein Anti Viren Programm die Signatur der Schadsoftware gelistet und dadurch erkannt hat. (oder durch andere Verfahren). Neuentwickelte Schadsoftware nutzen saubere Stubs, sodass diese erstmals nicht vom AV erkannt werden können.

Zum Rest haben bereits die anderen schon alles gesagt. Ich würde dir sehr empfehlen ein besseres Sicherheitskonzept zu entwerfen und ggf. Mitarbeiter zu schulen. Denn die Schadsoftware wurde mit Sicherheit von einer deiner Kollegen mit administrartiven Rechen gestartet.

Da wird klar empfohlen, einen Backupuser zu nehmen, der nur für das Backup zuständig ist.

Das ist nur ein Anfang. Auch solltest du das Netzwerk entsprechend absichern mit VLANs und mit Firewall Regeln.

Viele Grüße
Exception
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.12.2018 um 19:19:31 Uhr
Goto Top
Hallo,

was war denn für eine Firewall aktiv? Sag nun bitte nicht die Windows-eigene?

VG
Mitglied: NetworkingHomer
NetworkingHomer 19.12.2018 um 19:20:34 Uhr
Goto Top
Nein, das war Sophos.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.12.2018 um 19:20:53 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

was war denn für eine Firewall aktiv? Sag nun bitte nicht die Windows-eigene?

Welche denn sonst? face-smile

lks
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.12.2018 um 19:27:44 Uhr
Goto Top
Zitat von @NetworkingHomer:

Nein, das war Sophos.

Onboard oder eine SG?

Wenn ja, dann ist die aber mies konfiguriert. Am besten du (oder dein AG?) klopft mal bei uns an.
Mitglied: Pjordorf
Pjordorf 19.12.2018 um 20:02:49 Uhr
Goto Top
Hallo,

Zitat von @NetworkingHomer:
Es sieht so aus, als wenn der Trojaner sich via RDP verbreitet hat.
Kein AV auf den Homecomputer wo der RDP gestartet wurde? Kein AV auf den TS wodrauf das RDP sich Verbunden hat?

Ein Rechner mit Adminrechten soll angeschaltet gewesen sein
Der wo von der RDP gestartet wurde oder der wodrauf sich mit RDP Verbunden wurde? Und die per RDP gestartete Verbindung nutzt Admin (Domänen oder lokale TS Admin oder lokale Admin wovon das RDP gestartet wurde) Rechte? Wieso konnte der entfernte Benutzer nicht erkennen das er die Firma lahmlegt?

natürlich mit Internetzugriff. Das könnte der Kardinalfehler gewesen sein, oder?
Aber auch Rechner die Internet Zugriff haben fangen nicht von alleine an irgendetwas herunter zu laden und zu Arbeiten an.

Angeblich hat de Trojaner die Firewall ausgeschaltet und dann fleißig nachgeladen.
Wenn die Rechte passen - kein Problem.

Der Trojaner wird derzeit mit Standard-Virensoftware bekämpft, weil sie ihn erkennt.
Und wer versichert dir das danah die/der Rechner auch nach einen Neustart wirklich sauber ist? Es gab schon immer fiese Sachen.

Kann man nicht auf so einem AD-Server von vornherein so einen Virenscanner laufen lassen
Klar kann man das, wird auch gemacht. Nur das die wenigsten auf einen DC arbeiten (hilft dir dort nicht viel). AV gefhört auf allen Geräte in der ganzen Kette und Grundsätzlich niemals Volle Rechte (ausser den/die Admins sollen und müssen was ändern) und wenn per VPN und RDP sind deren Geräte auch sauber.

der den Trojaner gleich weggeputzt hätte?
Reicht aber nicht immer, das war mal. Der erste Trojaner ist von 1975 und sietdem werden die auch immer intelligenter, zumindest die macher (der Baukästen).

Gruß,
Peter
Mitglied: Dani
Dani 19.12.2018 um 23:28:45 Uhr
Goto Top
Moin,
was war denn für eine Firewall aktiv? Sag nun bitte nicht die Windows-eigene?
Ich sag dir, wir nutzen auf den Clients die Windows Firewall. Und nun? face-smile

Jedem Laien ist denke ich klar, dass man regelmäßig einen Datenträger auch mal weglegen muss ... tja
Alternativ gehen auch Read Only Snapshots der Sicherungen. Diese können von Malware eben auch nicht mehr verändert werden, wenn man es richtig aufzieht. Vorteil ist, dass Snapshots schneller erzeugt, verwaltet und zurückgespielt sind.

Es gibt auch eine Heise-Show zum Thema, ca. 1 Jahr alt. Da wird klar empfohlen, einen Backupuser zu nehmen, der nur für das Backup zuständig ist.
Damit ist es leider nicht getan. Denn auch am Backup-Server wird sich angemeldet und somit besteht wieder ein Risiko.
Beschäftige dich mit dem Active Directory Security, Delegierung von Berechtigungen, Berechtigungskonzept, Priviligierte Admin Workstations, Sicherheitszonen in Vrbindung mit VLANs, Application Protection auf Firewalls, Service Benutzer und Schulung von Admins und Benutzer. Damit wäre meiner Meinung nach die Basis gelegt. face-smile


Gruß,
Dani
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.12.2018 um 23:56:50 Uhr
Goto Top
Vermutlich ist die Windows Firewall aber nur die letzte Bastion? ;)