Hi
Ein Freund hat mir vor einigen Tagen sein Synology NAS in die Hand
gedrückt, da darauf einige Daten plötzlich verschlüsselt waren und
offensichtlich gehackt wurde. Bei den entsprechenden Daten war auch
immer der Hinweis:
"All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website:
***onionlink***"
Die wichstigsten Daten konnten wir inzwischen sichern und das NAS
zurücksetzen. Also alles halb so schlimm. Im Task Manager des NAS waren
folgende Task definiert:
Fritz schrieb:> kann jemand entschlüsseln was damit angestellt wird?
Das lädt die Malware runter und führt sie aus. Gibt doch mal die volle
IP Adresse an. Eventuell kann dann jemand das Binary mal untersuchen.
Wenn das so im Task-Manager stand, dann wurde de NAS nicht "gehackt"
sondern war einfach beschissen abgesichert. (Passwörter...) Ins Inet
freigegeben? Schlecht abgesichertes WLAN?
(prx) A. K. schrieb:> Sind die Wildcards von dir?
jup
Andreas M. schrieb:> Ins Inet> freigegeben?
jup. Benutzername admin, password admin und zudem alle relevanten Ports
freigeschaltet kopfschüttelAndreas M. schrieb:> Gibt doch mal die volle> IP Adresse an.
*.76.46.30
*.144.56.47
wenn jemand wirklich interesse hat, mutig ist und weiß was er tut,
einfach mit den IPs aus dem ersten Post kombinieren :)
tt2t schrieb:> Mal nachsehen:> 1$ whois 183.76.46.30
Völlig irrelevant. Das sind beides Adressen aus dynamischen Pools,
vermutlich ebenfalls mit dieser Malware befallen.
Bei den Exploit-Versuchen, die ich so in Logfiles sehe, soll meistens
Mozi.a oder Mozi.m nachgeladen werden - und zwar vom angreifenden Host,
und wenn der hinter einem NAT-Gateway steht, taucht in der wget-URL auch
mal eine RFC1918-Adresse auf.
Hmmm schrieb:> Völlig irrelevant. Das sind beides Adressen aus dynamischen Pools,> vermutlich ebenfalls mit dieser Malware befallen.
dynamische Pools glaube ich nicht, denn die können sich ändern und sind
nicht vorhersehbar.
Befallen: ziemlich sicher. Der Besitzer des NAS, Freund des TO, sollte
mal eine abuse-Mitteilung an die Provider schicken, die eMail-Adressen
stehen ja in der whois-Mitteilung
tt2t schrieb:> dynamische Pools glaube ich nicht
30.46.76.183.in-addr.arpa domain name pointer
ab046030.dynamic.ppp.asahi-net.or.jp.
47.56.144.98.in-addr.arpa domain name pointer
cpe-98-144-56-47.wi.res.rr.com.
tt2t schrieb:> denn die können sich ändern
Das ist in dem Zusammenhang egal. Der eingenistete Trojaner sucht sich
ein neues Opfer und lässt es unmittelbar den Schadcode ziehen, danach
wird der ohnehin nicht mehr gebraucht.
tt2t schrieb:> nicht vorhersehbar.
Die Command&Control-Server sind normalerweise andere, da wird oft zu
Tricks wie nach einem bestimmten Schema generierten Domainnamen
gegriffen, die die Malware durchprobiert.
tt2t schrieb:> Der Besitzer des NAS, Freund des TO, sollte> mal eine abuse-Mitteilung an die Provider schicken, die eMail-Adressen> stehen ja in der whois-Mitteilung
Bei japanischen Providern ist das nach meiner Erfahrung verschwendete
Lebenszeit.
Andras H. schrieb:> Zu Hause werde ich sofort mein Ghidra scharf machen und die Dinger> angucken :)
hast du schon Erkenntnisse erlangt?
Mich würd interessieren welche Veschlüsselung angewandt wird bzw. wie
die Passwörter berechnet oder vergeben werden.
tt2t schrieb:> Die 98.144.56.47 ist down, nicht mal ein ping geht
Ein ganz kluger Hinweis.
Pings zu 192.53.103.103,
192.53.103.182,
192.53.103.134
funktionieren auch nicht, obwohl die Server sich bester Gesundheit
erfreuen.