Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Möglichkeiten von Verschlüsselungstrojanern bei Netzwerkfreigaben

Mitglied: SarekHL

SarekHL (Level 3) - Jetzt verbinden

29.03.2019, aktualisiert 17:57 Uhr, 938 Aufrufe, 11 Kommentare

Hallo zusammen,

ich hätte gerne mal eine Einschätzung:

Kann eine Malware (konkret: Verschlüsselungstrojaner), die auf einem Computer aktiv geworden ist, auf eine Freigabe zugreifen, wenn ein anderer Windows-Benutzer als der, unter dessen Kontext der Trojaner aktiv geworden ist, Zugriff auf diese Freigabe hat? Dieser andere Benutzer wird nicht für die interaktive Anmeldung verwendet, unter ihm läuft aber ein Dienst (Backupprogramm).

Danke im Voraus,
Sarek \\//_
Mitglied: bloodstix
29.03.2019 um 17:41 Uhr
Hallo,

ich denke solange "EnableLinkedConnections" in der Registry nicht aktiv ist, sind die Laufwerke im jeweiligen Benutzerkonktext verbunden.
Aber 100% sicher kann ich es auch nicht sagen.

Gruß
bloody
Bitte warten ..
Mitglied: StefanKittel
29.03.2019 um 18:14 Uhr
Hallo,

grundsätzlich nein, aber...

Der Trojaner wird ja in einem Benutzerkontext aktiv und läuft mit dessen Rechten.
Er kann durchaus Informationen über Netzwerklaufwerke von anderen Benutzern auslesen.
Auch kann er die ARP-Tabelle auslesen um zu erkennen mit wem der Client so spricht.

Er kann über den UNC-Pfad auf den Server zugreifen. Wenn er dort keinen Zugriff erhält, kann er nichts machen.
Auch kann er einen IP-Scan machen und mal alles ausprobieren.

Ganz anders sieht das aus, wen der kompromitierte Benutzer Administrator ist, dann kann das Dinge lokal so ziemlich alles erreichen.
Auf Freigaben weiterhin nicht.

Wenn der Benutzer lokaler und AD-Admin ist, ist eh alles verloren.

Ich benutzte meinen Browser mit einem anderen Benutzer der nur lokal Zugriff als Benutzer hat.

100% Schutz gibt es aber nie und Sicherheitslücken immer mal.

Stefan
Bitte warten ..
Mitglied: SarekHL
29.03.2019 um 19:29 Uhr
Zitat von StefanKittel:

Ganz anders sieht das aus, wen der kompromitierte Benutzer Administrator ist, dann kann das Dinge lokal so ziemlich alles erreichen.
Auf Freigaben weiterhin nicht.

Das reicht mir im Prinzip an Sicherheit. Solange er nicht auf die NAS-Freigabe kommt, ist das gewünschte Ziel (für diesen Fall) erreicht. Und da sich mit dem einzigen Benutzer, der Zugriff auf das NAS hat, niemand interaktiv anmeldet, sollte der ja auch nicht kompromittiert werden können. Oder doch?
Bitte warten ..
Mitglied: Deepsys
29.03.2019, aktualisiert um 19:54 Uhr
Zitat von SarekHL:
Das reicht mir im Prinzip an Sicherheit. Solange er nicht auf die NAS-Freigabe kommt, ist das gewünschte Ziel (für diesen Fall) erreicht. Und da sich mit dem einzigen Benutzer, der Zugriff auf das NAS hat, niemand interaktiv anmeldet, sollte der ja auch nicht kompromittiert werden können. Oder doch?
Im Grunde ja, aber sollte es eine Lücke im SMB-/NFS-Protokoll oder in deinem NAS geben, dann könnte der Trojaner auch dort hin.
Ich glaube aber nicht das ein Verschlüsselungstrojaner das machen wird, die wollen schnell Geld verdienen und dann abtauchen.

Aber sollte ein Geheimdienst oder so bei dir was suchen, halte ich das nicht für unmöglich.
Bitte warten ..
Mitglied: StefanKittel
29.03.2019 um 20:19 Uhr
Hallo,

mein Datensicherungskonzept für KMU sieht ein NAS als primäres SIcherungsziel vor.
Nur die Datensicherungssoftware am Server hat die Zugangsdaten gespeichert. Kein Benutzer, auch nicht der Administrator, hat Schreibzugriff auf das NAS und die Freigabe ist versteckt.

Der Trojaner müßte also an einem PC mit eingeschränkten Benutzerrechten aktiv werden, sich auf den Server hacken, dort den Speicher der Datensicherungssoftware hacken und kann dann erst das NAS hacken.

Dazu gibt es USB-Festplatten als sekundäres Datensicherungsziel die offline im Schrank liegen.

Viele Grüße

Stefan
Bitte warten ..
Mitglied: Dani
29.03.2019 um 21:32 Uhr
Moin,
Kann eine Malware (konkret: Verschlüsselungstrojaner), die auf einem Computer aktiv geworden ist, auf eine Freigabe zugreifen, wenn ein anderer Windows-Benutzer als der, unter dessen Kontext der Trojaner aktiv geworden ist, Zugriff auf diese Freigabe hat?
Oh ja. Gerade Programm welche z.B. nicht unter C:\Programme installiert werden düfen sondenr direkt auf C:\ können dir mächtig Probleme bereiten. Sobald normale Benutzer auf solche Verzeichnisse Schreibzugriff hat, ist es eigentlich vorbei. Wir haben schon Malware gesehen, welche einfach die EXE ersetzt hat. Somit spielt der Benutzerkontext keine Rolle mehr.

Darum wird aus meiner Sicht Applocker & Co immer wichtiger, um solche intelligenten Malware einhalt zu bieten.


Gruß,
Dani
Bitte warten ..
Mitglied: chgorges
29.03.2019 um 21:33 Uhr
Jup mach ich genauso, nur die Backup-Software selber kennt die Share-Credentials. Seit den Ransomware Trojanern hänge ich NAS Systeme auch nicht mehr in Domänen ein.
Bitte warten ..
Mitglied: SarekHL
29.03.2019 um 22:58 Uhr
Zitat von Deepsys:

Im Grunde ja, aber sollte es eine Lücke im SMB-/NFS-Protokoll oder in deinem NAS geben, dann könnte der Trojaner auch dort hin.

Dann ist es aber davon unabhängig, ob es einen entsprechenden Windows-Benutzer mit Zugriffsrechten auf das NAS gibt. Das es keine absolute Sicherheit gibt, ist mir klar.
Bitte warten ..
Mitglied: SarekHL
29.03.2019 um 23:07 Uhr
Zitat von StefanKittel:

Nur die Datensicherungssoftware am Server hat die Zugangsdaten gespeichert. Kein Benutzer, auch nicht der Administrator, hat Schreibzugriff auf das NAS und die Freigabe ist versteckt.

Das war bei mir bzw. meiner Kundin bis vor kurzem auch so. Sie hatte Z-DBackup im Einsatz. Allerdings hatte Z-DBackup Probleme mit der Imagesicherung (Disaster- bzw. Bare-Metal-Recovery). Der Support von denen scheint nicht zu existieren, ich hatte über Wochen mehrfach versucht, den zu kontaktieren, es gab nicht mal eine Rückmeldung nach dem Motto "ist angekommen, wir kümmern uns drum".

Momentan teste ich NovaBACKUP. Das Programm scheint recht gut zu sein. Für das Backup kann man tatsächlich die Anmeldedaten zum Sicherungsziel im Programm hinterlegen. Das Konzept wurde aber nicht sauber zuende geführt. Schon für das Überprüfen der Sicherung muss man einen Windows-Benutzer haben, der auf das NAS zugreifen kann. Gut, da ist es kein Problem, weil man da nur Lesezugriff benötigt. Aber auch das "Aufräumen" (also Löschen der jeweils ältesten Sicherung über die Anzahl der aufzubewahrenden Sicherungen hinaus) funktioniert nicht mit den im Programm hinterlegen Anmeldedaten, sondern benötigt einen Windows-Benutzer mit Schreibrechten auf das NAS.

Welches Backup-Programm verwendest Du? Übrigens ist eine der Anforderungen, dass das Backup verschlüsselt sein muss, da es vom NAS regelmäßig auf eine externe Festplatte synchronisiert wird. Daher kann ich leider nicht einfach sagen, dass ich Z-DBackup weiterverwende und die Imagesicherung mit Windows Server Backup mache.
Bitte warten ..
Mitglied: StefanKittel
29.03.2019 um 23:20 Uhr
NovaBACKUP hatte ich vor kurem ausprobiert, habe ich aber auf einem sauberen neuem PC nicht stabil zum laufen gebracht.

Ich verwende bei den meisten Kunden StorageCraft ShadowProtect und Veeam (wenn der Kunde es bezahlt).
Mit SC bin ich beim DesasterRecovery nicht soo glücklich. Aber es funktikoniert mit VMs und physikalischen PCs/Servern.
Ich habe bis Heute aber nichts besseres gefunden.
Acronis und Backup Exec stehen bei auf der schwarzen Liste.
Bitte warten ..
Mitglied: SarekHL
29.03.2019 um 23:24 Uhr
Zitat von StefanKittel:

NovaBACKUP hatte ich vor kurem ausprobiert, habe ich aber auf einem sauberen neuem PC nicht stabil zum laufen gebracht.

Doch bei mir läuft es stabil. Aber wie gesagt, man braucht Windows-User mit Zugriffsrechten auf das Sicherungsziel. Das habe ich auch erst vom Support erfahren.


Ich verwende bei den meisten Kunden StorageCraft ShadowProtect und Veeam (wenn der Kunde es bezahlt).

Was kostet der Spaß? StorageCraft veröffentlicht leider keine Preise auf der WebSite ... nervig
Bitte warten ..
Neue Wissensbeiträge
Verschlüsselung & Zertifikate

Extended Validation Certificates are (Really, Really) Dead

Information von Dani vor 12 StundenVerschlüsselung & Zertifikate

Moin all, sehr interessanter Artikel zu EV SSL/TLS- Zertifikate von Troy Hunt: Gruß, Dani

Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 3 TagenHumor (lol)8 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 3 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 3 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Heiß diskutierte Inhalte
Mac OS X
Mac Startfehler: Too many corpses created
Frage von winlinMac OS X23 Kommentare

Seit meinem letzten update komme ich nach der Anmeldung nixht mehr weiter. Der Fortschrittsbalken nach der Anmeldung geht bis ...

Netzwerke
Subnetzmaske mit Hilfe der IP-Adresse berechnen
gelöst Frage von Jennifer21Netzwerke22 Kommentare

Hi zusammen, kann mir bitte jemand helfen bei dieser Aufgabe. Ich muss die die Subnetzsmaske berechnen von den IP-Adressen: ...

Exchange Server
Exchange 2016 550 5.7.60 SMTP Client does not have permissions to send
Frage von kermit-elmoExchange Server17 Kommentare

Hallo, ich möchte für bestimmte Mitarbeiter einen IMAP Zugang zum Firmen internen Exchange 2016 bereitstellen. Ein paar verwenden Linux ...

Windows 10
3D PDF bei WIN 10 mit Adobe Acrobat DC öffnen
Frage von DysfunktionWindows 1016 Kommentare

Hallo zusammen, Aus einem Konstruktionsprogramm ( Catia ) kann man Zeichnungen als 3 d PDF exportieren. Diese werden lokal ...