Ökade utpressningsattacker mot NAS-enheter

Permalänk
Melding Plague

Ökade utpressningsattacker mot NAS-enheter

Attacker där filer på internetanslutna NAS-enheter krypteras för utpressningssyfte har ökat på senare tid, och användare av sådana produkter bör se till att hålla mjukvaran uppdaterad.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Hedersmedlem

Så kan det gå när man av misstag kopplar in en internetsladd i sin hårddisk...

Permalänk
Medlem

"administratörslösenord hämtas via så kallade brute force-angrepp"
Nio av tio normala NAS (inte värsta budget skiten) har automatisk blockning på vid installation.

Efter x antal försök är ditt ip låst i x antal minuter vilket gör bruteforce värdelöst.
Istället för att ett IP kan testa några hundra tusen lösenord så kan det kanske testa mellan tre och fem stycken innan det automatiskt bannas i allt ifrån 30 minuter till permanent.

Även ett botnät med några hundra tusen datorer blir handikappat då antalet testade lösenord begränsat extremt. Några hundra tusen på någon minut (per klient/ip) till kanske 3 - 5 på en halvtimme (per klient/ip).

Paranoid ?
1. Slå på tvåvägs verifiering (skriv in ett nummer du får på din mobil).
2. Vitlista IP nummer (ditt, dina vänner mm) och blockera allt annat.
3. Stäng av tjänster du inte använder, HTTP/FTP/SSH mm.

Visa signatur

CPU: 5600x
GPU: 3080
RAM: 32GB

Sluta gömma din identitet, skaffa en till istället

Permalänk
Snusfri

Ibland är det skönt att vara DIY, kör en "hemmabyggd" NAS beståendes av en HP Microserver Gen8 med FreeNAS som sitter bakom rätt så stängd pfsense-burk.

Visa signatur

WS: i9 13900K - 128GB RAM - 6.5TB SSD - RTX 3090 24GB - LG C2 42" - W11 Pro
LAPTOP 1: Lenovo Gaming 3 - 8GB RAM - 512GB SSD - GTX 1650
LAPTOP 2: Acer Swift 3 - 8GB RAM - 512GB SSD
SERVER: i5 10400F - 64GB RAM - 44TB HDD
NALLE: Pixel 7 Pro

Permalänk
Hedersmedlem
Skrivet av hakd:

"administratörslösenord hämtas via så kallade brute force-angrepp"
Nio av tio normala NAS (inte värsta budget skiten) har automatisk blockning på vid installation.

Efter x antal försök är ditt ip låst i x antal minuter vilket gör bruteforce värdelöst.
Istället för att ett IP kan testa några hundra tusen lösenord så kan det kanske testa mellan tre och fem stycken innan det automatiskt bannas i allt ifrån 30 minuter till permanent.

Även ett botnät med några hundra tusen datorer blir handikappat då antalet testade lösenord begränsat extremt. Några hundra tusen på någon minut (per klient/ip) till kanske 3 - 5 på en halvtimme (per klient/ip).

Absolut, någon slags lösning likt fail2ban är inte helt fel, fast det skyddar inte mot säkerhetshål före inloggning som t.ex. i fallet för Qnap-NAS:arna.

Permalänk
Säkerhetsutbildare
Skrivet av hakd:

"administratörslösenord hämtas via så kallade brute force-angrepp"
Nio av tio normala NAS (inte värsta budget skiten) har automatisk blockning på vid installation.

Efter x antal försök är ditt ip låst i x antal minuter vilket gör bruteforce värdelöst.
Istället för att ett IP kan testa några hundra tusen lösenord så kan det kanske testa mellan tre och fem stycken innan det automatiskt bannas i allt ifrån 30 minuter till permanent.

Även ett botnät med några hundra tusen datorer blir handikappat då antalet testade lösenord begränsat extremt. Några hundra tusen på någon minut (per klient/ip) till kanske 3 - 5 på en halvtimme (per klient/ip).

Ja. Här rör det sig troligtvis om ordlisteattacker där botnätet testar de absolut vanligaste lösenorden. Ni som har Synology-Nas-enheter kan undersöka vilka blockeringsregler som används genom att öppna Kontrollpanelen, välja Säkerhet och gå till fliken Konto.

Permalänk
Medlem

@nikka:

Asustor har typ exakt samma:

Visa signatur

CPU: 5600x
GPU: 3080
RAM: 32GB

Sluta gömma din identitet, skaffa en till istället

Permalänk
Medlem
Skrivet av THB:

Ibland är det skönt att vara DIY, kör en "hemmabyggd" NAS beståendes av en HP Microserver Gen8 med FreeNAS som sitter bakom rätt så stängd pfsense-burk.

Men hur säkert är FreeNAS eller XigmaNAS för den delen? Kör själv XigmaNAS men kan egentligen för lite om detta. Ser dock i loggen att det är konstanta inloggningsgörsök från ständigt nya adresser.

En anekdot: tog en av dessa adresser och skrev in i webbläsaren och hamnade i en QNAP NAS hos en tandläkare i Tyskland där NASen fö hade default inloggning (admin/admin)...

Skickades från m.sweclockers.com

Permalänk

Hur osäkert är det i jämförelse att tex köra Ubuntu 10.4 på en hemmabyggd NAS?

Att byta till nyare har jag skjutit upp rätt länge nu. Jag har haft planer att bygga ny och då antagligen köra freenas istället, pga att jag inte har behovet av en massa andra extra tjänster på servern längre.

Permalänk
Hedersmedlem
Skrivet av lord_moggo:

Hur osäkert är det i jämförelse att tex köra Ubuntu 10.4 på en hemmabyggd NAS?

Att byta till nyare har jag skjutit upp rätt länge nu. Jag har haft planer att bygga ny och då antagligen köra freenas istället, pga att jag inte har behovet av en massa andra extra tjänster på servern längre.

Det beror helt på hur exponerad den är till Internet, hur mycket du litar på andra enheter som har åtkomst till ditt LAN, och vilka tjänster den kör.

Permalänk
Medlem
Skrivet av nikka:

Ja. Här rör det sig troligtvis om ordlisteattacker där botnätet testar de absolut vanligaste lösenorden. Ni som har Synology-Nas-enheter kan undersöka vilka blockeringsregler som används genom att öppna Kontrollpanelen, välja Säkerhet och gå till fliken Konto.

https://nikkasystems.com/wp-content/uploads/2019/08/synology_block_ip.png

Är detta inställt som standard eller behöver det aktiveras manuellt om man installerar sin Synology NAS utan att ändra saker i installationen?

Ska kolla hur det ser ut i min när jag kommer hem.

Skickades från m.sweclockers.com

Visa signatur

Har ett moderkort men vart fan köper man ett pappakort!?
Dator som moddas för fullt: SilverStone Raven RV02 White| i7 2600k @ 4,6GHz | ASUS P8P67 WS Revolution| Tri SLI Asus GTX580 DCII| 16Gb Corsair Vengence 1600MHz | Corsair AX 1200i| 2st OCZ Vertex 3 MI 120GB | Skärmar: 3x Dell U2311

Permalänk
Säkerhetsutbildare
Skrivet av aliassund:

Men hur säkert är FreeNAS eller XigmaNAS för den delen? Kör själv XigmaNAS men kan egentligen för lite om detta. Ser dock i loggen att det är konstanta inloggningsgörsök från ständigt nya adresser.

En anekdot: tog en av dessa adresser och skrev in i webbläsaren och hamnade i en QNAP NAS hos en tandläkare i Tyskland där NASen fö hade default inloggning (admin/admin)...

Skickades från m.sweclockers.com

Skrivet av lord_moggo:

Hur osäkert är det i jämförelse att tex köra Ubuntu 10.4 på en hemmabyggd NAS?

Att byta till nyare har jag skjutit upp rätt länge nu. Jag har haft planer att bygga ny och då antagligen köra freenas istället, pga att jag inte har behovet av en massa andra extra tjänster på servern längre.

Så länge som en Freenas-baserad Nas underhålls och konfigureras på samma sätt som en Synology-Nas är de lika säkra. Nu var det länge sedan jag lekte med Freenas (och jag har aldrig testat Xigmanas), men jag kan tänka mig att det fortfarande krävs mer av dig som administratör för att få rätt på allt. Synology DSM har synnerligen simpla konfigurationsguider för att aktivera välbehövliga säkerhetsfunktioner som tvåstegsverifiering och Let’s encrypt.

Gällande Ubuntu 10.04 så släpps inte längre uppdateringar. Du måste köra en dist-upgrade till Ubutnu 18.04.

Jag håller på att göra en bildguide med tio tips för att säkra Synology DSM. Jag postar den här imorgon. I korta drag innehåller den:

1. Håll operativsystemet uppdaterat
2. Aktivera automatisk uppdatering av operativsystemet
3. Uppdatera tilläggspaket och avinstallera tilläggspaket som in används
4. Kräv starka lösenord
5. Kräv tvåstegsverifiering
6. Tillåt endast portarna som behöver tillåtas
7. Spärra IP-adresserna från botar som testar lösenord
8. Aktivera Let’s encrypt
9. Installera antivirus
10. Säkerhetskopiera, säkerhetskopiera, säkerhetskopiera

Permalänk
Entusiast

Kanske är dags att uppdatera Xpenology och passa på att organisera om lite.

Visa signatur

Q9450, HD4850, 8 GB DDR2 800 MHz, 3x750 GB, Antec 300, Dell 2408WFP, U2410, Qnap TS-419p+ 4x2 TB Samsung F4, Asus UL30A-QX056V, Logitech Z-680, Sennheiser HD380pro, M-Audio FastTrack Pro, Ibanez sa160qm, Ibanez TB 15R, Zoom 505II, Ibanez GSR 200, Ibanez SW 35, Cort AC-15, Squier SD-3 BBL, Yamaha PSR 270, Røde NT1-A, Nikon D200, Nikkor 18-70/3,5-4,5, 70-300VR, 50/1,8, 28/2,8, Tamron 17-50/2,8, 90/2,8, Sigma 30/1,4, SB-800, SB-25, SB-24

Permalänk
Medlem

Har i över ett år haft återkommande inloggningsförsök på min synology. Satte hårda regler på autoban så kan de försöka bäst de vill. Hittils bara Attacker från kinesiska och ryska vpn-ips så ganska lätta att permabanna dem.
Men det är bra att gå igenom sin säkerhet på nasen för detta är nog vanliga än man tror.

Permalänk
Säkerhetsutbildare
Skrivet av Tobi the Dobi:

Är detta inställt som standard eller behöver det aktiveras manuellt om man installerar sin Synology NAS utan att ändra saker i installationen?

Ska kolla hur det ser ut i min när jag kommer hem.

Skickades från m.sweclockers.com

Jag kollade på en nyinstallerad DSM 6.2-Nas och där var auto-block aktiverat som standard. Standardinställningarna var att blockera IP-adresser som gör tio felaktiga inloggningsförsök inom fem minuter.

Observera att beteendet kan vara annorlunda på Nas-modeller som levererats med en tidigare version av DSM från början.

Permalänk
Medlem
Skrivet av nikka:

Jag kollade på en nyinstallerad DSM 6.2-Nas och där var auto-block aktiverat som standard. Standardinställningarna var att blockera IP-adresser som gör tio felaktiga inloggningsförsök inom fem minuter.

Observera att beteendet kan vara annorlunda på Nas-modeller som levererats med en tidigare version av DSM från början.

har en från 2013 och inte pillat på de inställningarna, och de är samma 10 försök innom 5 min banna ip't för evigt.

Det sagt ligger inte min nas ut mot nätet så sak samma för min del.

Visa signatur

Speldator: Ryzen 7800X3D, 64GB DDR5, RTX 3070
Server: i7-8700k, 32GB DDR4, RTX2080
Steam deck + de fiesta konsoller.

Permalänk
Medlem

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Visa signatur

Citera för svar!

Permalänk
Medlem
Skrivet av Nima2001:

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Minskar ju attackytan dramatiskt.

Dock, har du koll på vad de i det lokala nätet laddar hem och kör?

Edit:

gäller ju tex även den här kommenteraren:

Skrivet av THB:

Ibland är det skönt att vara DIY, kör en "hemmabyggd" NAS beståendes av en HP Microserver Gen8 med FreeNAS som sitter bakom rätt så stängd pfsense-burk.

Man kan låsa ner ordentligt mot yttre angrepp men sen så sitter en familjemedlem och laddar ner ransomware-infekterade program och då hjälper det föga.

Permalänk
Medlem

VARFÖR ska allt alltid ha möjlighet att nås remote eller kunna snacka ut på internet?
Det är nog oerhört få som faktiskt har ett behov för det och OM man nu behöver det så skadar det inte att läsa på lite om hur man sätter upp saker säkert.

Permalänk
Medlem
Skrivet av Nima2001:

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Oavsett svaret hade jag följt råden ändå. Det är inte precis svårt att se att nästa steg för dessa grupper att börja inkludera NAS attack kod i payload för vanlig ransomeware, dvs kryptera både dator och NAS. Det är inte ett trivialt antal personer som har sina backsups på NASen, eller alla riktigt värdefulla filer på den. Jag har mycket viktigare data på NASen jämfört med min laptop. En NAS ör ett självklart extremt värdefullt offer

Rådet som jag tycker saknas lite exponeringsmässigt är vikten av en backup som inte kan krypteras! Externa HDDer som ligger avslagna förutom vid överföring är ett exempel

Skickades från m.sweclockers.com

Permalänk
Expertgissare
Skrivet av THB:

Ibland är det skönt att vara DIY, kör en "hemmabyggd" NAS beståendes av en HP Microserver Gen8 med FreeNAS som sitter bakom rätt så stängd pfsense-burk.

Vist är det
Särskilt när den ligger nerpackad i en flyttkartong efter flytt.
Lutar mig tillbaka i soffan och tar det lungt ett tag till

Skickades från m.sweclockers.com

Visa signatur

FD Meshify C -|- X570 AORUS ELITE -|- Ryzen 7 3700X -|- FD Celsius S24 -|- Crucial Ballistix Sport 32GB -|- Radeon R9 380X -|- WD Black SN750 1TB

Permalänk
Snusfri

@filbunke: Eftersom jag bor själv så är inte det några problem.

Visa signatur

WS: i9 13900K - 128GB RAM - 6.5TB SSD - RTX 3090 24GB - LG C2 42" - W11 Pro
LAPTOP 1: Lenovo Gaming 3 - 8GB RAM - 512GB SSD - GTX 1650
LAPTOP 2: Acer Swift 3 - 8GB RAM - 512GB SSD
SERVER: i5 10400F - 64GB RAM - 44TB HDD
NALLE: Pixel 7 Pro

Permalänk
Medlem
Skrivet av reverend benny:

VARFÖR ska allt alltid ha möjlighet att nås remote eller kunna snacka ut på internet?
Det är nog oerhört få som faktiskt har ett behov för det och OM man nu behöver det så skadar det inte att läsa på lite om hur man sätter upp saker säkert.

En av mina huvudfunktioner, allt på ett ställe, då ur Ut-koppling viktigt

Permalänk
Medlem

Synology fick lite gratisreklam där ja.
Bra, skall snart köpa mig en NAS när min WindowsHomeserver 2011 lägger av för gott, verkar dock dröja, 8 felfria år nu 24/7.

Permalänk

@nikka:
Hur bör man tänka med ogiltiga inloggningsförsök, för att spärra dessa försök så snabbt som möjligt. Har idag 5 försök inom 5 minuter samt att IP inte tas bort.
Avser sätta upp FTP till Nasen (Synology), men kan jag då på något sätt blockera access från WAN. Ska enbart användas lokalt.

Tacksam för svar
//Freezer

Visa signatur

Cooler Master Silencio S600, MSI x99A SLI Plus, i7-5820, Hyper 212 Evo, Geforce GTX 770, 16 GB Corsair Vengeance, Corsair P600 1024GB, HDD *8, EVGA G2 750W, Windows 10 Pro 64bit.
Dell Latitude 5490, Win 11 Pro 64bit. Synology DS413j.
*Citera om du vill ha svar*

Permalänk

@Kiirozu:
Var hittar du information om dessa inloggningsförsök?
Den logg jag hittar innehåller enbart mina egna inloggningar. Fast det kanske innebär att ingen kan eller har försökt ansluta utifrån.

//freezer

Visa signatur

Cooler Master Silencio S600, MSI x99A SLI Plus, i7-5820, Hyper 212 Evo, Geforce GTX 770, 16 GB Corsair Vengeance, Corsair P600 1024GB, HDD *8, EVGA G2 750W, Windows 10 Pro 64bit.
Dell Latitude 5490, Win 11 Pro 64bit. Synology DS413j.
*Citera om du vill ha svar*

Permalänk
Medlem
Skrivet av reverend benny:

VARFÖR ska allt alltid ha möjlighet att nås remote eller kunna snacka ut på internet?
Det är nog oerhört få som faktiskt har ett behov för det och OM man nu behöver det så skadar det inte att läsa på lite om hur man sätter upp saker säkert.

Jag har använder min NAS för backup så jag har den hos en vän och han har sin NAS hos mej, detta för att ge en backup vid en brand/inbrott.
Därför behöver jag ha en NAS som är kopplad mot internet.

Permalänk

Rekommenderar att man geo-blockar om man behöver komma åt sin NAS utifrån, jag har enbart vitlistat det land jag vistas i.
Ska jag resa utomlands så är det bara att lägga till det land för stunden.
Jag hade väldigt många från Kina och Ryssland som försökte logga in på min, efter geo-blocken så har jag ingen.

Har all min media på NASen och vill såklart kunna komma åt det vart jag än befinner mig.

Permalänk
Avstängd
Skrivet av Freezer64Pro:

@Kiirozu:
Var hittar du information om dessa inloggningsförsök?
Den logg jag hittar innehåller enbart mina egna inloggningar. Fast det kanske innebär att ingen kan eller har försökt ansluta utifrån.

//freezer

Först måste du ha ställt in att DSM automatiskt permanent blockerar IP-adresser som gör misslyckade inloggningsförsök. (Själv har jag tre inloggningsförsök på fem minuter, sedan permanent block av IP.)
Detta gör man som tidigare sagts i kontrollpanelen -> Säkerhet -> Konto
Där finns också "Allow/Block List", där kan man tillåta sina lokala IP-adresser ifall man försöker logga in på fyllan utan att lyckas. Sedan finns det "Block List" och det är där IP-adresserna samlas som blivit permanent blockerade.

Visa signatur

*Inlägg med reservation för eventuell censur av admin ;-)

Permalänk
Säkerhetsutbildare
Skrivet av Nima2001:

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Attackerna som beskrivs i artikeln gäller internetexponerade Nas-enheter. Dessa attacker infekterar själva Nas-operativsystemet och krypterar därefter filerna. Nas-enheter som endast är åtkomliga inom det lokala nätverket löper ytterst liten risk för att drabbas av en sådan utpressningstrojan eftersom den i så fall måste spridas från en infekterad enhet i det lokala nätverket.

I ursprungsartikel som SweClockers länkar till tipsar jag om möjligheten att använda VPN för fjärråtkomst. Många av dagens kraftfullare routrar kan agera Open-VPN-server så att du kan ansluta på ett säkert sätt till ditt lokala nätverk över internet. Då kan du komma åt filerna på din Nas-enhet utan att behöva exponera den mot internet. Detta tips rekommenderar jag framförallt alla som har Nas-modeller som underhållsmässigt nått ”end-of-life” att följa.

Obs! Filerna som du lagrar på Nas-enheten kan vara utsatta trots att Nas-enheten i sig inte är exponerad mot internet. Om en utpressningstrojan infekterar en dator i det lokala nätverket kan trojanen även utpressningskryptera filer som finns på anslutna nätverksresurser.