Raptor Train Botnet - Malware war auch auf QNAP

  • Moin,


    das vor etwa einem Jahr entdeckte "Raptor Train" Botnet wurde abgeschaltet. Teil des Botnets waren auch einige QNAP NAS.

    Allem Anschein nach wurde das Botnet aber nun abgeschaltet, bevor es richtig zum Einsatz kam.


    Das zeigt mal wieder eine weitere Gefahr auf, die daraus resultiert wenn man sein NAS (oder andere nicht dafür ausgelegte Geräte oder Dienste) dem Internet aussetzt...

    Wie kürzlich in einem anderen Thread gesagt: "Man gefährdet damit nicht nur sich selbst...".


    FBI schaltet riesiges Botnet aus Heim-Routern, Webcams und NAS-Geräten ab
    Rund 1,2 Millionen IoT-Geräte waren weltweit Teil eines Botnetzes, ein Zehntel davon in Deutschland. Das FBI hat es nun abgeschaltet.
    www.heise.de

  • Ich wäre mir nicht so sicher, ob hier nur offene Ports eine Rolle gespielt haben, sondern eher das Fehlen von Sicherheitsupdates! Und das betrifft eine ziemlich große Anzahl von Herstellern - nicht nur QNAP! :/

  • Na ja, so ganz egal ist es nicht.

    Schlaueren Botnets ist es egal, ob das NAS offen im Internet steht, da kontaktiert der Bot seinen C&C-Server mittels ausgehender Verbindung vom NAS aus.

  • da kontaktiert der Bot seinen C&C-Server mittels ausgehender Verbindung vom NAS aus.

    Für sowas habe ich Blocklisten in der Firewall eingerichtet... die bösen Server oder Subnetze müssen zwar erstmal bekannt sein, aber das geht ja auch schneller als man gucken kann, bzw sind die meist ja schon vorher bekannt. Für diejenigen die sowas vor allem bei Consumer-Routern nicht einrichten können, wäre wenigstens fürs NAS die QuFirewall nice, sofern man hier überhaupt derartige Listen einpflegen kann.
    Wenn man sich dann auf anderem Wege was Böses eingefangen hat, kann es wenigstens nicht sauber arbeiten und man bekommt es auch noch mit.


    Aber kann ja auch in die Hose gehen :D :

  • Ich hab mir auf meinem 2nd Level Router auch ne Firewall eingerichtet und bin immer wieder erstaunt, wieviel die auch im normalen Betrieb ohne Malware rausfiltert. Ist schon interessant wieviele Source-routed Pakets so verwendet werden usw.

  • Schlaueren Botnets ist es egal, ob das NAS offen im Internet steht, da kontaktiert der Bot seinen C&C-Server mittels ausgehender Verbindung vom NAS aus.

    dazu muss die Schadsoftware zuerstmal auf das NAS gelangen. Also falsch, es ist nicht egal.

  • Hallo,


    Linux-Geräte sind scheinbar genauso unsicher wie andere Geräte (Win,...). :saint:


    Das Problem bei vielen diesen Geräte dürfte sein, dass es von den Herstellern nach 2-3 Jahren keine Updates mehr für diese Produkte mehr gibt. :(

    Die Lösung wäre dann, sich alle 2-3 Jahre ein neues Gerät (Kamera, TV, Waschmaschine, Kühlschrank, Auto, ...) zu kaufen. :idea:


    Diese unnötigen Internetfunktionen schalte ich bei neuen Geräten erst gar nicht ein.

  • Das Problem ist auch hier mal wieder nicht der Zugriff ins Internet, sondern der Zugriff vom WAN aus mit Portweiterleitung auf die Geräte mit veraltetem Software Stand.

    Das muss man differenzieren, wird aber alles gern unter Internetzugriff zusammen gefasst.

  • Auch der Zugriff aus dem eigenen LAN (mit schlecht geschützten Rechnern) kann die NAS beeinträchtigen.

    Besonders von solchen, die noch unter Win7 oder womöglich noch älter laufen,bzw. ungepatchten Win10/11-PC

    (mit dem Standard-Spruch: "Never touch a running System")