coreknabe
Goto Top

Ransomware - Verschlüsselung Netzlaufwerke

Moin,

da bin ich so am täglichen Rumfrickeln (na, springt jemand auf dieses Wort an? face-big-smile) und verbinde ein Netzlaufwerk auf einem Rechner manuell. Da fällt mir etwas ein...

Thema Ransomware: Bekanntermaßen verschlüsselt Ransomware nicht nur den lokalen Rechnerinhalt, sondern auch alle erreichbaren Netzlaufwerke. Frage: Werden nur die Netzlaufwerke verschlüsselt, die über einen zugeordneten Laufwerksbuchstaben erreichbar sind? Oder ist "Standardstreubomben-Ransomware" auch in der Lage, nicht direkt zugeordnete, aber über die Berechtigungen erreichbare Laufwerke zu erkennen und zu verschlüsseln? Mir ist schon klar, dass ausgefeiltere Software dazu in der Lage ist bzw. die Berechtigungen bekannt sind, wenn sich der Angreifer schon länger unbemerkt im Netzwerk befindet.

Sprich, wäre es zumindest ein kleiner Sicherheitsgewinn, nicht alle möglichen Netzlaufwerke direkt erreichbar zu machen?

Gespannte Grüße

Content-Key: 6161270337

Url: https://administrator.de/contentid/6161270337

Printed on: April 24, 2024 at 15:04 o'clock

Member: Mystery-at-min
Mystery-at-min Feb 28, 2023 at 09:30:41 (UTC)
Goto Top
Gute Software schaut sich vorher um und wird alles erreich und schreibbare verschlüsseln.
Member: SeaStorm
SeaStorm Feb 28, 2023 at 09:34:47 (UTC)
Goto Top
Dumme ransomware macht was direkt verbunden ist, bessere ransomware macht was es erreichen kann,

heutige ransomware ist ein Backdoor für jemanden der sich manuell umschaut und sich Zugriff auf alles verschafft. Inkl Filer, Backups, VMware etc etc.

Was du vor hast ist Security by obscurity und das funktioniert bekanntlich nicht.
Member: Coreknabe
Coreknabe Feb 28, 2023 at 09:37:18 (UTC)
Goto Top
@Mystery-at-min
Gute Software schaut sich vorher um und wird alles erreich und schreibbare verschlüsseln.

Deshalb die Frage, ob "Standardsoftware" das auch macht.

@SeaStorm
Was du vor hast ist Security by obscurity und das funktioniert bekanntlich nicht.

Ich hab da gar nix vor und ziehe das auch nicht als "Sicherheit" in Betracht, ich stelle mir nur diese Frage.

Gruß
Member: Lochkartenstanzer
Lochkartenstanzer Feb 28, 2023 updated at 09:45:37 (UTC)
Goto Top
Moin,

Laufwerksbuchstaben für Netzwerkshares sind noch aus dem letzten jahrtausend und schon lange nciht mehr "Sstand der Dinge". Seit Jahrzehnten ist es üblich, auf je nach OS auf shares mit "//hostname/share/pfad" oder "\\hostname\share\Pfad" zuzugreifen. Damit ist alles, was so ohne weitere Credentials erreichbar ist auch portentiell gefährdet und wird auch von malware gefunden und benutzt!

Wenn Du Glück hast, hast Du einen malware-programmierer, der nur laufwerksbuchstaben kennt und daher nur die verbundenen Netzlaufwerke "angreift". Aber soviel Glück hatte vor mehreren Jahren einer meiner (damals Neu-) Kunden nicht. Dem hat die Ransomware alle Officedokumente auf dem Server gehimmelt, ohne daß Netzlaufwerke verbunden waren. Zum Glück hatte er noch ein unbeschädgtes Backup (allerdings ein paar Tage alt).

lks
Member: Hubert.N
Hubert.N Feb 28, 2023 at 09:50:19 (UTC)
Goto Top
Moin

Zitat von @Lochkartenstanzer:
Laufwerksbuchstaben für Netzwerkshares sind noch aus dem letzten jahrtausend und schon lange nciht mehr "Sstand der Dinge".

Ja... Ähhhh... ich mag ja ein wenig oldschool sein, aber wie soll ich das verstehen?? Legst Du Deinen Kunden auf dem Desktop irgendwelche UNC-Verknüpfungen und es gibt keine Laufwerke im Explorer? Ich bin gerade ein wenig verwirrt...

Gruß
Member: Lochkartenstanzer
Lochkartenstanzer Feb 28, 2023 at 09:54:30 (UTC)
Goto Top
Zitat von @Hubert.N:

Moin

Zitat von @Lochkartenstanzer:
Laufwerksbuchstaben für Netzwerkshares sind noch aus dem letzten jahrtausend und schon lange nciht mehr "Sstand der Dinge".

Ja... Ähhhh... ich mh´g ja ein wenig oldschool sein, aber wie soll ich das verstehen?? Legst Du Deinen Kunden auf dem Desktop irgendwelche UNC-Verknüpfungen und es gibt keine Laufwerke im Explorer? Ich bin gerade ein wenig verwirrt...

  • Viele kommen auch so zurecht.

  • Denen die das brauchen reicht eine verknüpfung auf dem Desktop.

  • und denen die nur mit Buchstaben zurechtkommen, verknüpfe ich den gewünschten Buchstaben mit dem share.

ich versuche aber so vielen wie möglich beizubringen, auf Laufwerksbuchstaben zu verzichten, weil die so die Shares wiederfinden und nicht darauf angewiesen sind, daß "ein Administrator denen das Laufwerk wieder verbindet.", wenn sie es "verloren" haben. face-smile

lks
Member: DerMaddin
Solution DerMaddin Feb 28, 2023 at 10:09:15 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Laufwerksbuchstaben für Netzwerkshares sind noch aus dem letzten jahrtausend und schon lange nciht mehr "Sstand der Dinge". Seit Jahrzehnten ist es üblich, auf je nach OS auf shares mit "//hostname/share/pfad" oder "\\hostname\share\Pfad" zuzugreifen. Damit ist alles, was so ohne weitere Credentials erreichbar ist auch portentiell gefährdet und wird auch von malware gefunden und benutzt!

Hilf mir auf die Sprünge, wie genau greifen dann User auf die Freigaben zu? Via UNC-Pfad im Windows-Explorer?

Ransomware und andere Schadsoftware wird sicher nicht nur auf ein gemapptes Laufwerk "schauen". Da gibt es viele Mittel und Wege die offenen Verbindungen eines Systems abzufragen und im gleichen Netzwerksegment zu scannen mit ARP und PING und dann die Ports abfragen (SMB 139/445) ist keine Kunst.

Möchte man so sicher wie möglich sein, dann ist der Einsatz einer "guten" AV Lösung oder einer EDR/XDR unverzichtbar. Diese können Verschlüsselungsaktionen erkennen und den Client isolieren.
Member: StefanKittel
Solution StefanKittel Feb 28, 2023 at 10:14:22 (UTC)
Goto Top
Zitat von @Coreknabe:
Deshalb die Frage, ob "Standardsoftware" das auch macht.
Da es inzwischen sehr "gute" böse Software zu günstigen Preisen gibt, gibt es Standardsoftware immer weniger.

Gehe von guter böse Software aus. Die sucht auch nach NAS, Server, ESXi, Hyper-V, PCs, Router, Switche, Kopierer ,versucht diese direkt zu hacken und aktiviert eine Backdoor. Das alles ohne, dass der Benutzer davon erfährt.

Stefan
Member: DerMaddin
DerMaddin Feb 28, 2023 at 10:16:47 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

ich versuche aber so vielen wie möglich beizubringen, auf Laufwerksbuchstaben zu verzichten, weil die so die Shares wiederfinden und nicht darauf angewiesen sind, daß "ein Administrator denen das Laufwerk wieder verbindet.", wenn sie es "verloren" haben. face-smile

Bei einem Share oder auch zwei oder drei mag das vielleicht noch klappen. Ich kenne aber auch Strukturen, da hast du 10 oder 20 Freigaben. Wie löst du dann so etwas? 10, 20 Verknüpfungen auf dem Desktop? Wie navigieren die Anwender dann aus ihren Apps dahin?

Dies ist deine Sache wie du das umsetzt aber erzähle nichts von Stand der Dinge.
Member: StefanKittel
Solution StefanKittel Feb 28, 2023 at 10:19:40 (UTC)
Goto Top
Moin

Bedenke auch, dass viele Programme den FQDN zusätzlich zum Buchstaben speichert.
z.B. Verknüpfungen in Excel auf andere Dateien. Dort werden beide Informationen gespeichert und Excel löst dies ziemlich dynamisch auf.
Member: departure69
departure69 Feb 28, 2023 at 10:57:39 (UTC)
Goto Top
Hallo.

Das wird zwar jetzt immer mehr Offtopic, aber auch mir geht es so: Ohne Netzlaufwerkbuchstaben würden meine User gar nix mehr finden, die würden mich Teeren & Federn.
Ich halte es für ausgeschlossen, den Usern beizubringen, im "Speichern unter"-Dialog erst \\Server\share hinzutippen, bis sie dann mal gelbe Ordner sehen und darin dann was speichern können. Die werden - meines Erachtens völlig zu Recht - fragen, warum's denn da keinen (wiedererkennbaren, an den man sich gewöhnen kann) Buchstaben für das Netzlaufwerk gibt.

Wer unter Buchstabenknappheit leidet, aber dabei nur einen Fileserver nutzt, kann ja mit Hilfe von ABE mit nur einem einzigen Laufwerkbuchstaben, der eine übergeordnete Freigabe verbindet, arbeiten. Und dadrunter die ganzen ehemaligen Einzelfreigaben in gleichnamige Verzeichnisse organisieren. Und ABE hilft dann dabei, daß die User nur die Verzeichnisse sehen, auf die sie Leserechte haben.

Reine UNC-Verknüpfungen gebe ich meinen Usern nur manchmal bei Programmen. Und dies auch nur bei solchen, bei denen ich sicher weiß, daß die User niemals sichtbaren Zugriff auf das Verzeichnis brauchen, in dem sich die *.exe des Programmes befindet.

Viele Grüße

von

departure69
Member: Hubert.N
Hubert.N Feb 28, 2023 at 11:08:40 (UTC)
Goto Top
und mal wieder "on Topic" face-wink

Ist es nicht relativ egal, ob eine Ransomware in der Lage ist, ungenutzte, aber zugreifbare Shares zu verschlüsseln? Administrativ muss ich mich doch auf jeden Fall auf die Situation vorbereiten, dass die Schadsoftware dazu in der Lage ist.

Gruß
Member: Lochkartenstanzer
Lochkartenstanzer Feb 28, 2023 at 12:59:43 (UTC)
Goto Top
Zitat von @DerMaddin:

Zitat von @Lochkartenstanzer:

Moin,

Laufwerksbuchstaben für Netzwerkshares sind noch aus dem letzten jahrtausend und schon lange nciht mehr "Sstand der Dinge". Seit Jahrzehnten ist es üblich, auf je nach OS auf shares mit "//hostname/share/pfad" oder "\\hostname\share\Pfad" zuzugreifen. Damit ist alles, was so ohne weitere Credentials erreichbar ist auch portentiell gefährdet und wird auch von malware gefunden und benutzt!

Hilf mir auf die Sprünge, wie genau greifen dann User auf die Freigaben zu? Via UNC-Pfad im Windows-Explorer?

zu den Shares kann man sich im exlorer übelicherweise über die nertzwrkumgebung durchklicken. Ansonsten legt man auf den Desktop einen Ordner mit den Links an, die man dann einfach anklicken kann.

lks
Member: Coreknabe
Coreknabe Feb 28, 2023 at 13:36:46 (UTC)
Goto Top
Danke für Eure Beiträge.

Interessante Laufwerksbuchstabendiskussion face-wink

Ich nehme für mich mal mit, dass die Vermeidung von Laufwerksbuchstaben minimalst helfen kann. Nein, ich betrachte dies nicht als Absicherung, interessierte mich einfach. Aus meiner Sicht könnte das zumindest sehr grobe Streubomben von der Verschlüsselung der Netzlaufwerke abhalten. Lateral Movement läuft ja eher geplant ab. Könnte also ein Nebeneffekt der Verschlüsselung sein, wäre aber aus Angreifersicht ziemlich dumm. Wenn da bereits mit der Verschlüsselung angefangen wird, ist das Opfer ja schon etwas aufmerksamer und schaut genauer hin. Hoffe ich. Am geschicktesten wäre es natürlich, es sich schon einmal bequem zu machen und die Verschlüsselung erst nach einigen Monaten von der Leine lasse. In der Zeit hat der Angreifer viel Zeit zum Ausspähen der Umgebung, außerdem wird die Wahrscheinlichkeit eines brauchbaren (Gesamt-)Backups deutlich geringer, wenn die bereits vorhandene Schadsoftware immer brav mitgesichert wird. Viel Spaß bei der Prüfung, ob die Backups noch nutzbar sind...
Für Lateral Movement brauche ich das feine Besteck und möchte möglichst lange unentdeckt bleiben. Und ein Ausspionieren der Umgebung braucht allein durch die verschiedensten Hard- und Softwarekomponenten bzw. deren Konfiguration schon ne ganze Weile. Das dürften dann wirklich gezielte Angriffe sein, den Begriff Cyberattacke für Ransomwaregeschichten finde ich in den allermeisten Fällen nicht passend, weil eben nicht gezielt auf ein Opfer, sondern einfach massenhaft rausgerotzt.
Member: DerMaddin
DerMaddin Feb 28, 2023 at 13:46:23 (UTC)
Goto Top
@Lochkartenstanzer: "üblicherweise" => fettes NEIN

Wenn die Netzwerkerkennung deaktiviert ist, dann wird der Server/Client nicht gefunden. So ist dies bei uns gewollt ausgeschaltet.
Member: Coreknabe
Coreknabe Feb 28, 2023 at 13:51:23 (UTC)
Goto Top
@Hubert.N
Ist es nicht relativ egal, ob eine Ransomware in der Lage ist, ungenutzte, aber zugreifbare Shares zu verschlüsseln? Administrativ muss ich mich doch auf jeden Fall auf die Situation vorbereiten, dass die Schadsoftware dazu in der Lage ist.

Äh, ja, nein, schon. Geht ja auch ein wenig darum, die Art des Angriffs zu verstehen.

Gruß
Member: departure69
departure69 Mar 01, 2023 at 09:48:49 (UTC)
Goto Top
@Lochkartenstanzer:

Ansonsten legt man auf den Desktop einen Ordner mit den Links an, die man dann einfach anklicken kann.

Kann man alles machen, latürnich. Zugang zu solchen Netzlaufwerken zu verschaffen, die nicht per Buchstabe verbunden sind, sondern nur per UNC-Notation erreicht werden können, ist aber auch das kleinere Problem, das läßt sich natürlich mit entspr. Verknüpfungen lösen.
Leider hilft das aber den Leuten im "Speichern unter"-Dialog nichts. Sie müßten jedesmal erst \\server\share tippen. Und ich kenne meine Leute, in unter 1 Stunde käme der erste Anruf, daß das umständlich sei, ob das nicht einfacher ginge und überhaupt warum's keine Laufwerkbuchstaben mehr gibt ... face-wink.

Daß wir Admins die meisten Freigaben (weil wir sie angelegt und mit Rechten versehen und die passenden Gruppen gebildet und die Leute als Mitglieder hinzugefügt haben) auswendig kennen, steht außer Frage.

Wie gesagt, meine Leute wären überfordert und würden sich beschweren. Deshalb, ich schrieb es schon, würde ich bei Buchstabenknappheit die Freigaben mittels ABE konsolidieren.

Wenn man mit Herstellern von DMS-Software (bzw. deren Vertrieblern) spricht, hört man mittlerweile ohnehin, daß man so gar nichts mehr ablegt (also gar keine Netzlaufwerke mehr, egal ob per Buchstabe oder per UNS verbunden), sondern natürlich die angebotenen Methoden eines modernen DMS nutzen soll ...

Viele Grüße

von

departure69
Member: SeaStorm
SeaStorm Mar 01, 2023 updated at 17:40:15 (UTC)
Goto Top
Man kann per GPOs Verknüpfungen auf die Schnellstart und Netzwerkadressen legen. Letzteres sorgt dafür das sie auch unter "Dieser PC" zu sehen sind
Dann muss der User gar nichts von Hand tippen, und man nimmt die Vorteile von Laufwerken sowie den UNC\DFS Pfaden.
xuziwrgubd
So machen wir das, und das klappt bestens.
Member: departure69
departure69 Mar 02, 2023 at 07:18:57 (UTC)
Goto Top
@SeaStorm:

OK, von dieser Möglichkeit wußte ich nichts, das ist gut. Sehr gut sogar. Allerdings: Dein Screenshot ist ja ein Explorer. Sicher, daß das auch im "Speichern unter"-Dialog der versch. Programme (der "Speichern unter"-Dialog ist ja bekanntlich auch nichts weiter als ein Explorer-Auszug, genauso wie der "Öffnen-Durchsuchen"-Dialog) genauso erscheint? Falls ja, wäre das tatsächlich die Lösung der Probleme mit der Buchstabenknappheit.

Viele Grüße

von

departure69
Member: SeaStorm
SeaStorm Mar 02, 2023 at 09:53:08 (UTC)
Goto Top
Sicher?
Jupp
2023-03-02 10_47_17-save as

Tipp für diejenigen die diese Verknüpfungen nicht manuell in GPOs pressen wollen und das Risiko eines entsprechenden Tools eingehen wollen:
https://github.com/shodiwarmic/GroupPolicyNetworkLocations hier gibt's ein kleines GUI tool mit dem man das schön hin bekommt
Member: departure69
departure69 Mar 02, 2023 at 10:13:39 (UTC)
Goto Top
@SeaStorm:

Spitze, danke!

Viele Grüße

von

departure69
Member: TRainer
TRainer Mar 06, 2023, updated at Mar 07, 2023 at 13:42:11 (UTC)
Goto Top
Hallo @ all,
wie fange ich das Ganze an, ohne das es eine Werbeveranstaltung für ein Produkt wird, an dem wir arbeiten....
2021 war bei mir eine rote Linie überschritten, als die bösen Buben & Mädels ihren Ransomware Müll auf Krankenhäuser abluden und damit Menschenleben gefährdeten. So zog ich mich in mein Labor zurück und "bastelte" etwas mit meinem lieben AD Kollegen zusammen. Heraus kam ein aktiver Ransomware Schutz mit einem etwas anderen Ansatz. Das Ergebnis im ganz groben ist folgendes, wir überwachen erst mal das Verhalten der User im Bereich der genutzten Daten. Nach der Zeit folgt dann die Umsetzung des aktiven Ransomware Schutzes.
So, nun zum Problem was Coreknabe geschrieben hat. Kommt nun der Angriff übers Netz - und ja, die Gegenseite nutzt hier alle Mittel der Ausbreitung - dann wird nach einem bestimmten Verfahren der Zugriff auf die Dateien blockiert. Für diesen Server geht dann nix mehr für diesen User, sprich es kann auch nix mehr verschlüsselt werden. Wir haben uns auf Server konzentriert, da hier das max. Schadenspotential einer Fa. liegt. Das Verschlüsseln geht übrigens in Windeseile, denn es werden nur Teile der Dateien bearbeitet, keiner von den Bösen verschlüsselt eine 4GB Datei vollständig. Wenn sich jemand von Euch das mal in einem Labor antun will - da heulst du wie schnell das abläuft mit aktueller Ransomware.
Übrigens, liegen die wichtigen Dateien auf den PCs, tja, dann hat man ein anderes Problem face-wink
Damit das Administrieren der beschriebenen Funktionalität sich nicht nur auf den Ransomware Schutz bezieht, haben wir gleich noch ein ganzes modulares Admin Tool dazu entwickelt mit LDAP Browser, Changelog Funktionalität und allerlei weiteren netten Sachen für den Admin Alltag. Ein Tool von Admins, für Admins. Wir liegen gerade in den letzten Zügen und hoffen bald ein Launch starten zu können.
Wenn das gute Teil ganz fertig ist und die Tests bei unseren Admins übersteht ( face-wink ) dann werden wir als eine der ersten Plattformen hier über Administrator.de das Tool bewerben.
So, ich hoffe Ihr seid mir nicht all zu böse für die Werbung und ihr konntet wenigstens ein klein wenig Info daraus ziehen, der TRainer
Member: Bluescreenprofi
Bluescreenprofi Apr 17, 2023 at 08:34:45 (UTC)
Goto Top
@TRainer. An dem Tool hätte ich aus aktuellem Anlass Interesse. Bitte mich informieren, wenn verfügbar. Ich kann es dann durch entsprechende Experten prüfen.

Viele Grüsse
Member: TRainer
TRainer Apr 17, 2023 at 11:03:28 (UTC)
Goto Top
@Bluescreenprofi: Sende mir einfach mal eine kurze Anfrage an eis@web.de ich lasse Dir dann die Zugangsdaten für die Website zukommen. Derzeit wird die Website noch vervollständigt, von daher filtern wir das auf diese Art. Ich hoffe wir können dann Ende April die Website soweit freischalten. Ferner liegen wir gerade in den letzten Zügen mit der Online Demo. Die erlaubt dann zwar kein Schreiben der AD Objekt, dafür gibts aber alles im lesenden Bereich - quasi wie ein Auditor. Die On-Prem Demo Variante mit 30 Tage Laufzeit dauert noch ein klein wenig, wird aber hoffentlich bis Mai auch zum Download bereit stehen. Evtl. können wir das Dir aber auch schon vorher zukommen lassen, falls Du das möchtest. Viele Grüße (T)Rainer