» »

Izsiljevalski virusi napadajo NAS-e

Izsiljevalski virusi napadajo NAS-e

Slo-Tech - Čeprav je mikavno imeti NAS povezan v internet, novi izsiljevalski virusi kažejo, da to prinaša znatna tveganja. Virus eCh0raix, poznan tudi kot QNAPCrypt, se širi in okužuje NAS-e proizvajalcev QNAP in Synology, ki so dostopni z interneta. Prvikrat so novo verzijo eCh0raix opazili lanskega septembra, medtem ko je sama koda še starejša. Že leta 2016 je napadala QNAP-ove NAS-e, zato se imenuje QNAPCrypt. Kasneje so ji dodali funkcije napada še drugih sistemov, od tarč pa zahteva plačilo nekaj sto dolarjev (v bitcoinih) odkupnine.

Vmes je čas tekel, stare ranljivosti se zakrpali, odkrite pa so nove. Nova inačica virusa izkorišča ranljivost ID CVE-2021-28799, ki tiči v starejših verzijah naprav QNAP-a in Synologyja. Na napravah QNAP na primer napade programsko opremo Hybrid Backup Sync (HBS 3), ki je namenjena sinhronizaciji med lokalni, oddaljenimi in oblačnimi slikami podatkov. Analitiki ocenjujejo, da je v internet priključenih vsaj 240.000 ranljivih naprav QNAP in 3500 Synologyjevih. Na internetu so poročila prizadetih uporabnikov, ki plačujejo od 500 do 800 dolarjev odkupnine za dostop do podatkov. Kogar napad še ni prizadel, pa mu svetujejo posodobitev firmwara, uporabo močnega gesla in uvedbo seznama dovoljenih IP-jev, od koder je dovoljen dostop do NAS-a (whitelist).

42 komentarjev

harvey ::

Logična tarča, velike količine podatkov, povečana izpostavljenost zaradi organizacije in praktičnosti takega dostopa - povečan obseg dela od doma in seveda velik intetes, da podatke dobiš nazaj in to z veseljem plačaš.
Ar scáth a chéile a mhaireann na daoine.
------

UniBra ::

Clasical surveillance tech trickle down efekt.

Masa teh "oopsijev" je vdelana bodisi namenoma, bodisi zavestno škrtarijo pri QC s tem namenom.
Firme, ki so dobro plačane s strani držav, pa plačujejo podatke o teh, da lahko prodajajo vsvovje rootkite itd.

Po nekem času pa stvar postasne znana in s tem neuporabna.
Takrat je čas da se "odkrije" in "zakrpa"...
Tega je POLNO. In ne samo v closed sourceu.

Opazoval sem, kako uvajajo "developerje" kot svoj asset v Gentoo recimo.
Dobiš novega člana, ta dobi "mentorja", ki mu zrihta en projekt, da se "pokaže".
Rezultat prikažejo kot nadpovprečen in takoj napreduje v varnostno infrastrukturo ipd.
In povsod delajo "majhne korake". Oppsie tu, leakec tam, posredovanje nekje drugje ipd.

Zgodovina sprememb…

  • spremenilo: UniBra ()

mtosev ::

Tole z izsiljevalskimi virusi je že bolano. Jaz se na srečo še nisem srečal z njim.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

basinc ::

Dovolj je že da standardne porte na NASu spremenite in tako preprečite vdor virusa.

__prlek__ ::

Meni so lani zakryptali Synology NAS,vse word & excel datoteke
Dobro da sem imel kopije na USBju, sicer stare cca 3 mesece

WhiteAngel ::

__prlek__ je izjavil:

Meni so lani zakryptali Synology NAS,vse word & excel datoteke
Dobro da sem imel kopije na USBju, sicer stare cca 3 mesece


Tole zveni dost creepy. A to si imel na ven odprt Synology in star firmware?

Elysium ::

Jaz imam vse porte zaprte in dostopam domov samo preko VPNja. VPN imam pa na routerju in ne uporabljam tistega na NAS, čeprav je tudi tisti na NAS zelo dober. NAS imam strogo samo v notranji mreži.

Netrunner ::

Moj NAS je samo v lokalni mreži in nikoli ga ne mislim dati na net. Imamo dovolj raznih cloud providerjev za take zadeve.
Doing nothing is very hard to do... you never know when you're finished.

miroB ::

Na Synology uporabljam za dostop izven doma quickconnect. Dela zelo dobro...

https://kb.synology.com/en-af/DSM/help/...

Netrunner ::

miroB je izjavil:

Na Synology uporabljam za dostop izven doma quickconnect. Dela zelo dobro...

https://kb.synology.com/en-af/DSM/help/...


Je to kaj bolj varno kot direkten dostop?
Doing nothing is very hard to do... you never know when you're finished.

Kumbaja ::

Odvisno od direktnega dostopa. Sam quickconnect ni kaj dosti več kot DDNS, kot jaz razumem. Predvsem pa je spet standardizirana reitev in posledično vektor vdora.
IMO je še vedno bolj varna rešitev ločen in ustrezno zavarovan VPN.

mat xxl ::

Sami smo imeli leto nazaj varnsotno preverjanje omrežja in sem jih spraševal, da bi zaradi pritožb uporabnikov, morda odprli Synology NAS za dostop od zunaj, odprt sicer je na ven, za posodobitve, pa so bili odločno proti taki rešitvi. Tako, da od zunaj preko plačanega TW do svojega službenega od tam pa na NAS in ja obvezno omejitve pri brisanju ali spreminjanju več, stvari, obdelavi več stvari ....

No in, kljub temu smo fasali ene 8 mesecev nazaj nekaj, kar je zaklenilo 15 failov, potem je pa NAS blokiral povezan računalnik..... Škode ni bilo.....

Torej previdno..., pa jasno bakupe, tudi na način, da če nekdo od posvečenih na nižjem nivoju proba, kaj uničiti, da črna varnostna kopija na nekaj dni ostane.......

Zgodovina sprememb…

  • spremenil: mat xxl ()

zmist ::

Jah jaz se cakam, da ransomware podpre BSDje in ZFS :)) :)) :))

Zgodovina sprememb…

  • predlagal izbris: GupeM ()

zmist ::

Nauk te zgodbe, nehajte uporabljati razna synology jajca, imate https://www.freenas.org, ker ga uporabljajo resne institucije, je odpravljanje napak precej bolj na nivoju kot domace igracke.

Zgodovina sprememb…

  • predlagal izbris: GupeM ()

ginekk ::

Na mojem NASu teče FreeBSD (nas4free projekt), share z vsemi podatki je omejen na read-only, za write imam poseben "vice" folder.

Netrunner ::

zmist je izjavil:

Nauk te zgodbe, nehajte uporabljati razna synology jajca, imate https://www.freenas.org, ker ga uporabljajo resne institucije, je odpravljanje napak precej bolj na nivoju kot domace igracke.

Synology je zakon, katerega velike institucije precej uporabljajo. Freenas je super, vendar kdo ima čas se zezat s tistim. Synology par klikov in je urejeno. Kar se varnosti tiče pa je treba poskrbeti preden prideš do Nasa, ne glede na to ali je synology, qnap ali freenas na neki mašini.
Doing nothing is very hard to do... you never know when you're finished.

Invictus ::

Če ne znaš nastaviti uporabnikov, in njihovih pravic, je čisto kateri software uporabljaš...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

ManDriver ::

Kako se losat bota, ki sistematično poizkuša hacknit (Brute-force attack) moj Synology NAS? Blokada IP-ja ni učinkovita, ker ga stalno spreminja.
--
If all the world is a stage, where is the audience sitting?

Tidule ::

Mogoče Geoblokada IP?

Kako točno pa izgleda bruteforce attack? Jaz imam na synology 2FA avtentifikacijo in blokado po treh napačnih geslih. Dvomim, da lahko tako hitro rotira IP, da bi z brute force prišel notri.

Drugače pa vedno dobra praksa imet NAS dostopen samo preko VPN.

SeMiNeSanja ::

ManDriver je izjavil:

Kako se losat bota, ki sistematično poizkuša hacknit (Brute-force attack) moj Synology NAS? Blokada IP-ja ni učinkovita, ker ga stalno spreminja.

Pa ga res moraš imeti direktno izpostavljenega internetu?

Poskusi ga za kakšen teden 'odklopiti' od interneta (izklopi port forward nanj). Ti 'hackerji' imajo zgolj omejene resurse in prej ali slej prenehajo 'bombardirati' tarče, ki se ne odzivajo, ter se preusmerijo na druge.

Drugače, če imaš to možnost, lahko omejiš dostopa iz interneta na VPN povezave.
Če to ni možno, lahko določene servise prestaviš na alternativne porte, tako da bo bot 'nabijal' v prazno.

Če imaš možnost geoblockinga (router ali NAS), ti ta tudi lahko pomaga.

Namesto da blokiraš posamične IP naslove, ki te 'napadajo', prični uporabljati 'whitelisting' - prepoveš vse dostope iz interneta - razen iz naslovov..... in lepo dodaš naslove omrežij iz katerih se ti povezuješ. Ponavadi je to kar dokaj kratek seznam.

No, v skrajnem primeru se preseliš na drug IP naslov.

ALI...... botu nastaviš fake 'prijavo' - na portu, katerega 'napada' mu nastaviš nekaj 'nedolžnega', kar se bo z njim 'pogovarjalo'. Nekakšen Echo Server. Po moje bo kmalu pogruntal, da se iz njega norčuješ...

ČE boš šel po tej poti, si poglej orodje Ncat, ki je nekakšen Švicarski nož za take zadeve.
Že osnovni primer uporabe Ncat ti pokaže, kako ga uporabiš, da se odzove, kot bi se odzval Web strežnik.
Če pa hočeš, da dejansko igra echo server (pošiljatelju vrača vse, kar je poslal - kor nekakšen odmev - echo), imaš navodila tukaj.

Primer, ki je uporabljen za Web server, bi lahko uporabil tudi, da botu zaigraš lažno uspešno prijavo :)

Kar je lepega pri Ncat - ti lahko spremljaš, kaj bot počne. Zna biti tudi zanimivo....

-----------------------------------

Karkoli že delaš / ali ne delaš - predvsem preveri, da imajo vsi uporabniki dovolj kompleksna gesla. Ponavadi že en sam šumnik, celo v krajšem geslu onemogoči brute-force, ker niti ne preizkušajo šumnikov.
Še večja verjetnost pa je, da bot uporablja zgolj neko bazo znanih pogostih gesel. Dobesedno kombiniranje črk in številk je prepočasno in zelo težko na ta način kam vdreš, sploh če so gesla dolga 8 in več znakov.
Namesto tega se uporablja 'dictionary' - datoteko z znanimi pogosto uporabljenimi gesli, ki je lahko prilagojena za določeno geografsko področje ali jezik. Orodja potem znajo tudi kombinirati gesla iz dictionary-ja in dodajati posebne znake, številke,...

Toda za bruteforce preko WAN povezave je tudi slednja kombinacija čisti overkill. To se običajno uporablja nad kriptirano password datoteko (npr. /etc/passwd), če se uspejo do nje dokopati, ali pa nad prestreženimi WiFi gesli.

Tidule je izjavil:

Mogoče Geoblokada IP?

Kako točno pa izgleda bruteforce attack? Jaz imam na synology 2FA avtentifikacijo in blokado po treh napačnih geslih. Dvomim, da lahko tako hitro rotira IP, da bi z brute force prišel notri.

Drugače pa vedno dobra praksa imet NAS dostopen samo preko VPN.

Podobnih misli........

Čeprav mislim, da OP nekako že ve za 'potencialne rešitve' - a je problem v nepotrebni obremenitvi linije, NAS-a, basanju logov,...

Skratka v nadležnosti brutforce-a, četudi veš, da ti nič ne more. Kot tista zoprna muha, ki ti brenči okoli glave in ti gre silno na jetra.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

Tidule ::

A je dodana vrednost, da bi NAS premaknil v ločeno omrežje in ga kot klienta povezoval v VPN? Ali s tem kaj dodaš k varnosti, ali si samo kompliciraš življenje?

ManDriver ::

Tidule je izjavil:

Mogoče Geoblokada IP?

Kako točno pa izgleda bruteforce attack? Jaz imam na synology 2FA avtentifikacijo in blokado po treh napačnih geslih. Dvomim, da lahko tako hitro rotira IP, da bi z brute force prišel notri.

Drugače pa vedno dobra praksa imet NAS dostopen samo preko VPN.


Imam tudi jaz nastavljeno, da po dveh napačnih poizkusih logiranja avtomatsko blokira IP. To zgleda tako, da naredi dva poskusa zaporedoma, potem pa počaka 4 minute in potem spet z novega IP-ja in z novim geslom itd...
--
If all the world is a stage, where is the audience sitting?

ManDriver ::

SeMiNeSanja je izjavil:

ManDriver je izjavil:

Kako se losat bota, ki sistematično poizkuša hacknit (Brute-force attack) moj Synology NAS? Blokada IP-ja ni učinkovita, ker ga stalno spreminja.

Pa ga res moraš imeti direktno izpostavljenega internetu?

Poskusi ga za kakšen teden 'odklopiti' od interneta (izklopi port forward nanj). Ti 'hackerji' imajo zgolj omejene resurse in prej ali slej prenehajo 'bombardirati' tarče, ki se ne odzivajo, ter se preusmerijo na druge.

Drugače, če imaš to možnost, lahko omejiš dostopa iz interneta na VPN povezave.
Če to ni možno, lahko določene servise prestaviš na alternativne porte, tako da bo bot 'nabijal' v prazno.

Če imaš možnost geoblockinga (router ali NAS), ti ta tudi lahko pomaga.

Namesto da blokiraš posamične IP naslove, ki te 'napadajo', prični uporabljati 'whitelisting' - prepoveš vse dostope iz interneta - razen iz naslovov..... in lepo dodaš naslove omrežij iz katerih se ti povezuješ. Ponavadi je to kar dokaj kratek seznam.

No, v skrajnem primeru se preseliš na drug IP naslov.

ALI...... botu nastaviš fake 'prijavo' - na portu, katerega 'napada' mu nastaviš nekaj 'nedolžnega', kar se bo z njim 'pogovarjalo'. Nekakšen Echo Server. Po moje bo kmalu pogruntal, da se iz njega norčuješ...

ČE boš šel po tej poti, si poglej orodje Ncat, ki je nekakšen Švicarski nož za take zadeve.
Že osnovni primer uporabe Ncat ti pokaže, kako ga uporabiš, da se odzove, kot bi se odzval Web strežnik.
Če pa hočeš, da dejansko igra echo server (pošiljatelju vrača vse, kar je poslal - kor nekakšen odmev - echo), imaš navodila tukaj.

Primer, ki je uporabljen za Web server, bi lahko uporabil tudi, da botu zaigraš lažno uspešno prijavo :)

Kar je lepega pri Ncat - ti lahko spremljaš, kaj bot počne. Zna biti tudi zanimivo....

-----------------------------------

Karkoli že delaš / ali ne delaš - predvsem preveri, da imajo vsi uporabniki dovolj kompleksna gesla. Ponavadi že en sam šumnik, celo v krajšem geslu onemogoči brute-force, ker niti ne preizkušajo šumnikov.
Še večja verjetnost pa je, da bot uporablja zgolj neko bazo znanih pogostih gesel. Dobesedno kombiniranje črk in številk je prepočasno in zelo težko na ta način kam vdreš, sploh če so gesla dolga 8 in več znakov.
Namesto tega se uporablja 'dictionary' - datoteko z znanimi pogosto uporabljenimi gesli, ki je lahko prilagojena za določeno geografsko področje ali jezik. Orodja potem znajo tudi kombinirati gesla iz dictionary-ja in dodajati posebne znake, številke,...

Toda za bruteforce preko WAN povezave je tudi slednja kombinacija čisti overkill. To se običajno uporablja nad kriptirano password datoteko (npr. /etc/passwd), če se uspejo do nje dokopati, ali pa nad prestreženimi WiFi gesli.

Tidule je izjavil:

Mogoče Geoblokada IP?

Kako točno pa izgleda bruteforce attack? Jaz imam na synology 2FA avtentifikacijo in blokado po treh napačnih geslih. Dvomim, da lahko tako hitro rotira IP, da bi z brute force prišel notri.

Drugače pa vedno dobra praksa imet NAS dostopen samo preko VPN.

Podobnih misli........

Čeprav mislim, da OP nekako že ve za 'potencialne rešitve' - a je problem v nepotrebni obremenitvi linije, NAS-a, basanju logov,...

Skratka v nadležnosti brutforce-a, četudi veš, da ti nič ne more. Kot tista zoprna muha, ki ti brenči okoli glave in ti gre silno na jetra.


No, to ja. Že samo dejstvo me moti, da nekaj poskuša in ima pri tem "neomejeno" cajta. Dejansko imam "admin" username onemogočen, zamenjane default porte in pa dokaj kompleksna gesla. Sem nedolgo nazaj, ko sem opazil kaj počne izklopil NAS, ker sem bil ravno na dopustu. Je potem nehal za nekaj časa, zdaj pa se je spet prisesal. Vem, da bi bila najboljša rešitev VPN, a se mi trenutno ne da ubadati s tem. Netu ga moram imeti izpostavljenega, ker se na NAS povezujem iz različnih lokacij, tudi iz tujine in veliko preko mobilnega telefona. Geolokacijska blokada ne deluje. Opazil sem, da pogosto uporablja IP Australije in Nizozemske, sem dal blokado na državi, pa še vedno pride skozi, oz. še vedno poskuša z logiranjem.
Sicer pa hvala za nasvete!

Tidule je izjavil:

A je dodana vrednost, da bi NAS premaknil v ločeno omrežje in ga kot klienta povezoval v VPN? Ali s tem kaj dodaš k varnosti, ali si samo kompliciraš življenje?


Ma mislim da bolj slednje. V skrajnem primeru bom razmišljal bolj v smeri, da bi uvedel 2Fa, pred VPN-jem.
--
If all the world is a stage, where is the audience sitting?

Zgodovina sprememb…

ManDriver ::

 Log

Log



Takole zgleda.
--
If all the world is a stage, where is the audience sitting?

SeMiNeSanja ::

Tidule je izjavil:

A je dodana vrednost, da bi NAS premaknil v ločeno omrežje in ga kot klienta povezoval v VPN? Ali s tem kaj dodaš k varnosti, ali si samo kompliciraš življenje?

Vsako koristno reč se da izvesti tako, da profitiraš, ali pa da si na izgubi.

Pri VPN je že v osnovi vedno vprašanje kakšen tip VPN povezave imaš v mislih. Nekatere so boljše, druge slabše za določeni scenarij ali opremo. Če imaš zelo preprost VPN, ki potrebuje zgolj geslo, da bi deloval, nisi prav hudo veliko naredil.
Druga zgodba seveda je, če moraš imeti certifikate za vzpostavitev VPN povezave, ali pa se mora ujemati še kup drugih parametrov, kot npr. pri IPSec VPN povezavah.

VPN seveda dodaja nekaj overhead-a. Toda ta niti ni kritičen sam za sebe. Kritično je vprašanje kako zmogljiv procesor imamo na našem VPN prehodu, ali sploh zmore obdelati toliko VPN pretoka, kot imamo na voljo pasovne širine.
Številni routerji, ki omogočajo SSL VPN povezljivost, pogosto ne zmorejo nekega velikega 'pretoka'. Pogosto se konča tam nekje pri 10Mbps.
Druga zgodba znajo biti malo naprednejši routerji s strojno pospešeno dekripcijo. Toda tudi tu moraš paziti - meni strojno pospeševanje podpira IPSec/IKEv2/L2TP - ne pa tudi SSL VPN.

Torej - VPN generalistično gledano - VSEKAKOR. Toda vrag vedno tiči v podrobnostih.

Account lockout (zaklep uporabnika ob napačnih geslih) pa je lahko tudi dvorezen meč. Če nekdo pozna tvoj username, ti lahko načrtno nagaja z napačnimi prijavami. Če ima dober spisek vseh uporabniških imen, ti lahko celo onemogoči dostop do nekega sistema (ali celo omrežja!). Pravi mali DOS napad.

Pri tem pa nekateri sistemi uporabljajo lockout le za navadne uporabnike, ne pa tudi za administratorje - ravno zaradi potencialne nevarnosti 'nagajanja'...

No, imamo pa tudi začasne in permanentne lockout-e, tako da ni vedno vse tako črno. Vendar kljub temu - predstavljaj si ponedeljek zjutraj - 'nagajivec' je na LinkedIn in spletnih straneh podjetja spraskal informacije o zaposlenih. Mali 'testira' in ugotovi IP naslov za VPN povezivanje (če imaš mail server v firmi, bo nekje 'blizu' IP-ju v MX zapisu DNS-a). Ugotovi še, da imaš OWA odprt. Nato začne preizkušati, kako čim več uporabnikov zakleniti...malo preko VPN povezave, preostalo pa še preko OWA.
Pridejo ljudje v službo, pa se ne morejo prijaviti v računalnike, ker so accounti zaklenjeni na nivoju domene. Kličejo admina... jim odklepa accounte... a baraba pa jih sproti nazaj blokira (itak ne rabi več kot 5 napačnih prijav../uporabnika).
Skratka, zadeva kmalu nikogar več ne zabava....

2FA je drugače ok zadeva. Vsaj v principu. Praksa pa kot vedno: odvisna od implementacije.

ManDriver je izjavil:

 Log

Log



Takole zgleda.

1 login/minuto? Ta ni resen :) To lahko probava do propada civilizacije, pa ne bo uganil gesla!

Bolj zoprno je, da ti zabija loge, pa potem ne vidiš stvari, ki bi jih bilo dobro videti.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

ManDriver ::

Ja. Opažam, da je nedavno povečal frekvenco poizkusov. In to vse preko "generičnega" admin username-a. Ja, bedno do amena. Sem kontaktiral tudi Synology support, ki so z množičnimi poskusi vdora seznanjeni in kao "proučujejo", pa so mi odgovorili, naj se zaradi tega ne sekiram kaj preveč...
--
If all the world is a stage, where is the audience sitting?

Unchancy ::

Imeti vse svoje podatke dostopne preko interneta. 24/7. Pri tem se zanašati na lastne omejene vire in znanje. What could possible go wrong?
Škoda časa za ta režimski forum.
Pobrišite post, iz bunkerja vas že kličejo.
Adijo mod Rdeči Kmeri.

Tidule ::

Pri VPN je že v osnovi vedno vprašanje kakšen tip VPN povezave imaš v mislih. Nekatere so boljše, druge slabše za določeni scenarij ali opremo. Če imaš zelo preprost VPN, ki potrebuje zgolj geslo, da bi deloval, nisi prav hudo veliko naredil.
Druga zgodba seveda je, če moraš imeti certifikate za vzpostavitev VPN povezave, ali pa se mora ujemati še kup drugih parametrov, kot npr. pri IPSec VPN povezavah.

Trenutno uporabljal integrirano rešitev, ki jo nudi Synology. Kolikor sem bral naj bi bila korektno izvedena, doda tudi 2FA komponento.

Account lockout (zaklep uporabnika ob napačnih geslih) pa je lahko tudi dvorezen meč. Če nekdo pozna tvoj username, ti lahko načrtno nagaja z napačnimi prijavami. Če ima dober spisek vseh uporabniških imen, ti lahko celo onemogoči dostop do nekega sistema (ali celo omrežja!). Pravi mali DOS napad.

Kot razumem ima synology zadevo urejeno tako, da ne blokira uporabnika ampak IP. Tako, da ta vidik na srečo odpade, verjamem, da pa zna bit nočna mora.

2FA je drugače ok zadeva. Vsaj v principu. Praksa pa kot vedno: odvisna od implementacije.

V čem imaš glavne pomisleke? Synology uporablja generator kod, tako da SMSji in podobno odpade. So tukaj kakšne bistvene ranljivosti, ki jih treba pazit?

Konkretno je moj setup trenutno tako zastavljen, da imam dostop do NAS omogočen preko VPN Plus, ki teče na ločenem synology routerju. Uporabniki, ki lahko uporabljajo VPN niso administratoji na NAS ali routerju ampak imajo določene pravice dostopa do podatkov/servisov. Dostope imam omejene po državah, pač glede na to kaj je realno da bom rabil. Vsa gesla so kompleksna in dolga, vsi računi imajo F2A.

Si ne domišljam, da je to nedotakljivo ampak vseeno mislim, da random bot ne bo prišel noter. Seveda pa se lahko motim, in sem kak pomemben vidik spregledal.

ManDriver je izjavil:

 Log

Log



Takole zgleda.


Tole deluje precej amatersko, kot bi nekdo, ki te dejansko pozna poskušal random uganit geslo. Zdi se mi zelo nenavaden vzorec za bota.

Zgodovina sprememb…

  • spremenilo: Tidule ()

blaz5 ::

Zdravo,

si že poskusil z geoblockingom (jaz imam odprto samo na SLO in HR)? Tudi jaz imam NAS izpostavljen v internet ampak podobnih napadov še nisem doživel.

ManDriver ::

Že poizkusil. Blokirano imam Nizozemsko in Avstralijo, od koder je največ poizkusov logiranja, ampak se mi zdi, da geoblocking samega poizkusa ne onemogoči.
--
If all the world is a stage, where is the audience sitting?

Zimonem ::

ManDriver je izjavil:

Kako se losat bota, ki sistematično poizkuša hacknit (Brute-force attack) moj Synology NAS? Blokada IP-ja ni učinkovita, ker ga stalno spreminja.

Predstaviš privzeta vrata. Kamor mu nastaviš honeypot. Pa ga blokiraš.

SeMiNeSanja ::

ManDriver je izjavil:

Že poizkusil. Blokirano imam Nizozemsko in Avstralijo, od koder je največ poizkusov logiranja, ampak se mi zdi, da geoblocking samega poizkusa ne onemogoči.

Geoblocking (govorim na splošno - ne vezano na Synology) zavrne povezavo, katera pride iz določene države/regije.

Seveda pri tem ne more zavrniti nečesa, kar se še ni zgodilo. Ko pa se zgodi, pa že imamo nov zapis v logih.
Sicer bi ta zapis moral dati jasno vedeti, da se je šlo za geografsko blokado.
Načeloma nas sicer zanima, kaj je ta povezava pravzaprav nameravala, kot npr. prijaviti se z uporabniškim imenom xyz. Vendar če si hudo strikten, boš povezavo zavrnil še predenj dobiš paket, ki vsebuje te podatke in tako do teh 'zanimivih' informacij ne boš prišel. To je nekako tako, kot če vlomilca preženeš, ko stopi z eno nogo na parcelo - ali pa počakaš, da vidiš, pri katerih vratih, s čem in kako bo poskusil vlomiti, ter ga preženeš šele potem, ko si vse to zvedel.

Problem je vedno, da se pri preveliki firbčnosti lahko kaj zalomi.

V informatiki se tako lahko 'zalomi' če napadalec pozna nek bug v sistemu, ti ga pa še nisi posodobil. Ta bug pa mu omogoča zaobiti user/pass prijavo.....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

ManDriver ::

Hvala za pojasnilo!
--
If all the world is a stage, where is the audience sitting?

ManDriver ::

Zaenkrat sem zadevo rešil tako, da sem zamenjal porte.
--
If all the world is a stage, where is the audience sitting?

Zimonem ::

Na standardni port pa obesi kako suricato, če ti router dovoljuje. Da jih ob potencialnem portscanu poblokiraš še preden kaj najdejo.

ManDriver ::

Ja, prejšnji port sem pustil zanalašč odprt, pa naj se j**e naprej. Na router mislim da ne bo šlo, ker imam na njem Asus-ov stock firmware. Imam pa en mini server, na Raspberry Pi-ju. Mogoče bi tja gor kaj obesil. Suricata, je to: https://suricata.io/ ?
--
If all the world is a stage, where is the audience sitting?

SeMiNeSanja ::

Suricata nima nekega pravega smisla, če se hočeš 'igrati' z nadlegovalcem in videti kaj dejansko skuša naresti.
Suricata je IDS/IPS sistem in je bolj usmerjena v odkrivanje in preprečevanje neobičajnih, znanih zlonamernih vzorcev prometa.
Bruteforce na standardni login je v osnovi povsem legitimen vzorec prometa. Sumljiv postane šele z neprestanim ponavljanjem. Ker pa si ponovitve sledijo z različnih virov in kar precejšnjih časovnih presledkih, je vprašanje, če bi Surikata sploh kaj naredila (jo ne uporabljam, zato tega ne morem reči z gotovostjo).

Jaz sem z predlogom še vedno pri Ncat, nasledniku orodja Netcat, katerega vzdržujejo pod istim okriljem kot veliko bolje znano orodje nmap, s katerim si marsikdo skenira omrežja, identificira računalnike, odprte porte,...

Ncat obstaja tudi v source kodi, lahko pa da ti Linux distribucija omogoča že kar direktno namestitev paketa.

Je zelo majhen programček, malo neroden za današnji čas, ker je vse command line, a če si Linux navdušenec, te to najbrž ne bo motilo. Linki do navodil in primerov uporabe so pa že zgoraj višje nekje.

Vsekakor lahko ncat priporočam vsakemu, ki se hoče malo poigrat z mrežo in komunikacijami preko nje (npr. na eni strani poženeš ncat, z druge strani pa narediš telnet/http/... na port, na katerem čaka ncat).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zimonem ::

Zakaj bi osnovno analitiki in povezavo z požarnim zidom izumljal na novo. Ob botnet listah in vsem ostalem kar nudi, suricata in ncat nista niti isto področje zaščite.

GupeM ::

SeMiNeSanja je izjavil:

Suricata nima nekega pravega smisla, če se hočeš 'igrati' z nadlegovalcem in videti kaj dejansko skuša naresti.

Tudi jaz je ne poznam, ampak po opisu, ki ga je podal Zimonem, bi rekel da jo lahko skonfiguriraš na takšen način:
Nekdo poskuša dostopat preko porta 23. Ker ti veš, da na portu 23 nihče ne sme dostopati, zablokiraš ta IP, in če slučajno proba še na 2323 (ki pa je recimo odprt za SSH), takoj veš da je bil pred tem s tega IP-ja poskus na nelegitimnem portu in veš da ga ne smeš spustiti naprej.

Seveda ti pa ta zadeva ne prepreči napada, če "napadalec" z neznanim IP-jem že iz prve poskuša na 2323.

Lahko pa s tem sebi nakoplješ težave, če se od drugod poskušaš povezati k sebi, pa pozabiš napisati port number. Se zakleneš s tistega IP-ja. Zato jaz priporočam VPN.

Zgodovina sprememb…

  • spremenil: GupeM ()

Zimonem ::

To itak. 0a tudi rule postavljati ni ravno za domačega popoldanca. Je pa fajn ker ima liste od botnetov in se dokaj hitro vidi kam pes taco moli. Z ncatom moraš praktično vse zgraditi iz novega.

SeMiNeSanja ::

Zimonem je izjavil:

Zakaj bi osnovno analitiki in povezavo z požarnim zidom izumljal na novo. Ob botnet listah in vsem ostalem kar nudi, suricata in ncat nista niti isto področje zaščite.

Pa sej ni bila poanta v 'zaščiti'.
Ta mogoče kdaj kasneje pride na vrsto, ko bo OP NAS prestavil nazaj na 'standardne porte'. No, morda tudi prej, če bo hotel zaščititi nestandardne porte, na katere je prestavil NAS. A za enkrat ni bilo govora o kakšni požarni pregradi.

Trenutno je bilo govora o tem, kako 'zaposliti' nadlegovalca na portu, ki se zdaj ne odziva (ker je NAS prestavil drugam).

Ncat sem navedel zato, ker ti na konzoli pokaže (lahko shranjuješ v datoteko), kaj tisti 'nadlegovalec' dejansko poskuša. Morda tudi kakšna gesla sprobava, kar bi znala biti zelo zanimiva informacija.

Skratka govora je bilo o dveh povsem različnih 'področjih'. Eno bolj v smeri opazovanja oz. raziskovanja, drugo pa v smeri klasične 'zaščite'.

V smeri opazovanja/raziskovanja je Ncat zanimivo orodje, ker lahko nadlegovalcu posreduješ različne 'odgovore'. Če imaš zelo veliko 'pipo' mu lahko v odgovor pošlješ 2GB datoteko ob vsaki povezavi. Če se mu bot ne sesuje zaradi slabega programiranja, pa se mu bo prej ali slej zabil disk, ko bo logiral odgovore, ki mu jih pošiljaš.
Lahko pa mu držiš connection odprt in posreduješ odgovore bit po bit in mu bote čisto zamoriš.
No, bolj zanimivo bi jih bilo 'sesuti' z odgovorom, ki ga nebi uspeli prebaviti.....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

ManDriver ::

Sem se odločil, da poizkusim srečo z OpenCanary na Raspberry Pi-ju (https://simpaul.com/open-canary-on-a-pi....
--
If all the world is a stage, where is the audience sitting?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mindfactory garancija -problem (strani: 1 2 )

Oddelek: Kaj kupiti
9813723 (7936) Mitja358
»

Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namena

Oddelek: Novice / Varnost
259346 (5004) Ales
»

Nov botnet na milijonih naprav IoT (strani: 1 2 )

Oddelek: Novice / Varnost
6923273 (20545) SeMiNeSanja
»

Enterprise NAS

Oddelek: Kaj kupiti
283321 (2728) Mr.B
»

Medijski predvajalnik in QNAP NAS

Oddelek: Zvok in slika
51274 (1117) kaktus1

Več podobnih tem