Wie ist der Stand der "Ermittlungen" ?

  • was19

    Ich hätte da eine ganz gezielte Frage.

    Welche Dateien auf deinem NAS wurden wie geändert?

    Und eine zweite gezielte Frage.

    Mit welcher Verschlüsselung wuden diese Dateien encryptet?

  • Hallo zusammen!


    Um Daten zum Security Advisory for Malware on QTS zur Auswertung sammeln zu können, habe ich ein Google Spreadsheet erstellt.

    Jeder der mit der Malware in Berührung gekommen ist oder auch sonst Informationen beisteuern möchte, kann sehr gerne Daten dort eintragen.


    Der erste Eintrag ist ein Beispiel als Orientierungshilfe.


    Editieren kann das Dokument jeder - ich vertraue darauf, dass wir sinnvoll damit umgehen.


    Anregungen, Verbesserungsvorschläge und Kritik gerne hier - wenn das für die Moderation OK ist.

    Ansonsten als PN und/oder an die Mail-Adresse über das Spreadsheet.


    Gruß!

    Tim


    PS:

    was19 Danke für Deine Meldung. :thumbup:

    Du musst natürlich Dein NAS nicht irgendwo hinschicken oder Zugriff darauf gewähren.

    Vielleicht machst Du den Anfang und trägst ein paar Angaben in das Spreadsheet ein. ;)

  • Ich bin der Meinung, wenn jemand "Enterprise-Erwartungen" an ein solches Gerät hat, dann muss er auch bereit sein, die Enterprise-Preise für ein SAN oder ähnliches zu bezahlen -


    Wenn eine Wasserstandsmeldung schon als "Enterprise" Support gilt ... wow. :)

  • In deiner Tabelle fehlt aber meiner Meinung nach ein entscheidenter Punkt...


    Wie ist oder war die NAS von extern erreichbar?

    myqnapcloud?

    Welche Ports waren offen?

    ...


    Lg Stefan

  • Timpov: Erledigt.


    dr_mike: Z.B. Wird offensichtlich ständig die Datei mit der Url fürs Firmware-Update und App-Listen-Update verändert. Genauen Dateinamen hab ich grad nicht parat, irgendwo im Thread zur Appliste stehts drin.

    Von einer Verschlüsselung hab ich bisher nichts gesagt und auch nicht gesehen. Mir ist auch klar, dass man bestimmte Details nicht liefern kann. Aber ohne Fragen kriegt man auch keine Antworten.

  • Z.B. Wird offensichtlich ständig.....

    Genau solche Allgemeinplätze nutzen gar nichts. Sie sind gemeinhin schon bekannt. Wichtiger wäre, welcher Code in welchen Dateien verursacht dies. Das kann nur das Scanergebnis des MR (zumindest teilweise) ermitteln. Oder eben ein erlaubter Zugriff nach Anfrage beim/vom Support. Beides verweigerst du aber.

    Mir ist auch klar, dass man bestimmte Details nicht liefern kann.


    Doch kann man - zumindest die Wichtigsten. Man darf eben nur nicht sagen, "QNAP bekommt von mir keine Infos" soll aber bitteschön maximal informieren.

  • Hallo was19

    [...] welcher Code in welchen Dateien verursacht dies. Das kann nur das Scanergebnis des MR (zumindest teilweise) ermitteln. Oder eben ein erlaubter Zugriff nach Anfrage beim/vom Support.

    Ich bin auch der Meinung, man sollte die Möglichkeit einer "Live Analyse" durch QNAP auf jeden Fall in Betracht ziehen.


    Du musst natürlich Dein NAS nicht irgendwo hinschicken oder Zugriff darauf gewähren.

    Mit dieser Aussage habe ich dann evtl. ein wenig Verwirrung gestiftet.


    Ich wollte sagen, dass niemand für die angestrebte, eigene Analyse, die wir hier durch das Sammeln von Befall-Daten angefangen haben, Zugriff auf sein NAS gewähren muss.


    Von offiziellem Support seitens QNAP wollte ich natürlich nicht abraten.


    Gruß!

    Tim

  • So ich hab mich durchgerungen und das NAS neu aufgesetzt nach der Anleitung von Dr. Mike in dem AppListe Thread Teil 2.


    Anlass waren Zugriffsprobleme auf eine Freigabe. Sämtliche Rechte auf die Freigabe waren mit einmal verweigert. Außerdem zeigte die Freigabe auf die root. Mir ist nicht klar, wie es dazu gekommen ist. Das war mir sehr suspekt, weswegen ich mich zum Neu-Aufsetzen "überzeugt" hab.

  • So, jetzt gibt es für meine TS-220 eine neue Firmware


    Zitat von Change Log

    QTS 4.3.3.0868 build 20190322[Fixed Issues]


    - Fixed a remote code execution vulnerability in Netatalk (CVE-2018-1160).


    - Fixed an improper access control vulnerability in Helpdesk (CVE-2018-0728).


    - Fixed a command injection vulnerability in Music Station (CVE-2018-0729).

  • Das Problem der Malware ist ja eben, dass die Scripte laufzeitverschlüsselt sind. Man kann nicht mal eben reinschauen und gucke was die so treiben. Sonst wäre der Spuk schon längst vorbei.

  • Ich habe mal ein Frage, wen ich die host Datei sauber ist, der Malware remover und das antivirus normal funktioniert und sich updaten. Kann man dann ausschließen, dass man betroffen ist?

  • Du kannst zumindest auschliessen das Du von DIESER Malware betroffen warst/bist. ;)

    Was sich sonst noch so versteckt (wenn!), weiß niemand.


    Gruss

  • Das Problem der Malware ist ja eben, dass die Scripte laufzeitverschlüsselt sind.

    Kann mir da bitte jemand Erleuchtung schenken?

    Ich meine, das ist doch ein Script welches Ausgeführt wird. Dieses Script muß ja irgendwer geschrieben haben. Warum kann man da dann nicht einfach reingucken?

  • Danke für die Verlinkung. Den Thread kannte ich nicht.

    In der dort aufgeführten autorun.sh kann man ja nix sinnvolles rauslesen.

    Das ist vermutlich mit "Laufzeitverschlüsselung" gemeint? Also wird das Script bei Aufruf verschlüsselt (oder während des Betriebes), ohne daß man eine Möglichkeit hat zu verstehen was das Ding macht?