Verschlüsselungsangriffe auf Computersysteme sind ein Thema in der IT-Sicherheit, das (leider) immer wieder zu erheblichen Problemen führt. Die Verschlüsselung von Daten durch Schadsoftware erzeugt hohe Schäden und kann die Arbeitsfähigkeit ganzer Gruppen extrem einschränken. Meistens gehen dabei die Probleme von einem einzelnen Client im Netzwerk aus, der erfolgreich angegriffen wurde. Nach einem solchen Angriff startet unmittelbar die Verschlüsselung auf diesem Rechner und angeschlossenen Systemen und auch ohne weitergehende Eskalation der Berechtigungen stehen der Verschlüsselungssoftware alle Berechtigungen des angemeldeten Benutzers zur Verfügung. Dadurch beschränken sich in den heutigen stark vernetzten Systemen die Probleme nicht nur auf einen unmittelbar befallenen Rechner.
Nahezu jeder Nutzer in einer Arbeitsumgebung hat heute Zugang zu Daten, die an Orten im Netzwerk gespeichert sind. Existiert ein Fileserver mit umfangreichen benutzerübergreifenden Verzeichnisstrukturen, werden dort durch die Schadsoftware meist alle Verzeichnisse verschlüsselt, auf denen der am befallenen Rechner angemeldete Nutzer Zugriff hat. Auf diese Art und Weise können ganze Benutzergruppen für einen erheblichen Zeitraum am effektiven Arbeiten gehindert werden. Auch wenn ein Backup besteht und die Daten mit geringen Verlusten wiederhergestellt werden können, ist eine schnelle Reaktion erforderlich um den Schaden gering zu halten.

 Wir möchten hier eine Methode beschreiben, wie mit Hilfe von Bordmitteln auf microsoftbasierten Fileservern eine Alarmierung und ein Logging erreicht werden kann, um solche Vorfälle zu erkennen und Hinweise auf das verursachende System zu erhalten. Diese Methode ersetzt keine weiteren umfangreichen Sicherheitsmaßnahmen, kann aber als zusätzliche Vorsichtsmaßnahme genutzt werden.

Ein Windows Server bietet die Möglichkeit einen Dienst zu aktivieren, der Dateien auf einem Laufwerk überwachen kann. Dies kann genutzt werden, um alle neu erstellten Dateien zu überprüfen und bei Bedarf über einen definierten Kanal zu informieren oder Log-Einträge zu generieren. Wenn gewünscht kann der Schreibvorgang blockiert werden.
Der dafür genutzte Dienst wird als „Ressourcen-Manager für Dateiserver“ bezeichnet und kann auf jedem Windows Server aktiviert und konfiguriert werden. Wir beschreiben hier, wie dieser Dienst so konfiguriert werden kann, dass Endungen von Crypto-Malware auf Netzlaufwerken erkannt werden und eine Mail an die Administratoren geschickt wird. Bei einem Befall eines Rechners mit Crypto-Malware werden Dateien verschlüsselt und häufig mit einer speziellen Endung versehen, um die Verschlüsselung der Datei zu demonstrieren. Für die meisten bekannten Crypto-Malware sind diese Endungen nach kurzer Zeit bekannt und es kann auf dieser Basis eine Warnung generiert werden. In unserem Beispiel möchten wir einen Befall durch die Crypto-Malware ‚GandCrab' detektieren indem wir eine Erkennung der entsprechenden Endung ‚*.krab' einrichten.

Im ersten Schritt muss der oben beschriebene Dienst auf dem entsprechenden Fileserver aktiviert werden. Der „Ressource-Manager für Dateiserver“ wird dafür im Server-Manager unter „Rollen und Features hinzufügen“ hinzugefügt. Nach erfolgreicher Aktivierung des Dienstes muss ein Neustart erfolgen und die Konfiguration durchgeführt werden.
Für die Konfiguration geht man als erstes auf „Verwaltung“ und öffnen den „Ressource-Manager für Dateiserver“ (Bild 1). Hier sind nur die „Dateiprüfungsverwaltung“ und dessen Unterpunkte relevant. Der erste Schritt ist das Hinzufügen einer Dateigruppe. Dazu wählt man diesen Punkt aus und klickt oben rechts auf „Dateigruppe erstellen...“ (Bild 2). Es öffnet sich ein neues Fenster in dem die gewünschten Dateiendungen, hier nur ‚*.krab', zur Liste hinzugefügt werden können. Dieser Gruppe muss zudem ein Name gegeben werden, hier „Ransomware“, bevor sie mit einem Klick auf „OK“ gespeichert werden kann (Bild 3).

Bild 3

Als nächstes wird unter „Dateiprüfungsvorlage“ eine neue Vorlage erstellt, indem man oben rechts auf „Dateiprüfungsvorlage erstellen...“ geht (Bild 4). Im neu geöffneten Fenster muss ein Name für die Vorlage vergeben („Ransomware“) und die zu betrachtende Dateigruppen (ebenfalls „Ransomware“) ausgewählt werden (Bild 5). Unter „E-Mail-Nachricht“ muss das E-Mail-Konto des Empfängers angegeben und bei Bedarf der Inhalt der E-Mail angepasst werden (Bild 6). Wenn die Ereignisse zusätzlich in das Ereignisprotokoll geschrieben werden sollen, kann das im Reiter „Ereignisprotokoll“ ausgewählt werden (Bild 7). Nun können die Einstellungen mit einem Klick auf „OK“ gespeichert werden. Falls bisher kein SMTP-Server eingestellt war, erscheint jetzt eine entsprechende Meldung (Bild 8).

Bild 8

Jetzt muss nur noch eine Dateiüberprüfung aus der soeben erstellen Vorlage generiert werden. Dazu geht man in der oberen rechten Eckte der Dateiüberprüfung auf „Dateiprüfung erstellen...“ (Bild 9). Im neu geöffneten Fenster muss der zu überwachenden Pfad eingegeben („C:“), die Vorlage ausgewählt („Ransomware“) und unten auf „Erstellen“ geklickt werden (Bild 10).

Bild 9+10

Falls vorher kein SMTP-Server eingestellt war, muss das spätestens jetzt getan werden. Dazu klickt man mit der rechten Maustaste oben Links auf den Punkt „Ressourcen-Manager für Dateiserver“, wählt „Optionen konfigurieren“ (Bild 11) und gibt die Daten für den entsprechenden E-Mail-Server und die Absenderadresse ein (Bild 12). Nun sollte der Fileserver in der Lage sein im Falle eines Treffers eine E-Mail an die konfigurierte Adresse zu schicken. Der Schreibvorgang wird in dieser Konfiguration nicht verhindert. Falls das gewünscht ist, muss der Prüfungstyp in der Dateiprüfung von „Passiv“ auf „Aktiv“ geändert werden (Bild 9).

Bild 11+12

Noch eine Anmerkung: Falls Sie Nutzern aktiv den Zugriff auf Freigaben entziehen wollen, müssen Sie dessen Berechtigung in der Freigabe ändern, und zwar direkt am Wurzelordner und nicht in einem der Unterordner. Beachten Sie ebenfalls, dass das Kerberos-Ticket auch nach Entzug des Zugriffs für eine gewisse Zeit aktiv bleibt.

In den letzten 2 Jahren war der Begriff der ‚Cryptomalware‘ im Bereich der IT-Security extrem präsent. Viele der prominentesten Vorfälle, die bekannt wurden, stammten aus diesem Bereich und zielten auf eine Verschlüsselung von Daten auf den angegriffenen Rechnern. Es wurde dann angeboten, den Schlüssel für dieEntschlüsselung der Daten nach Zahlung einer bestimmten Summe herauszugeben. Dieses Versprechen wurde in vielen Fällen tatsächlich eingehalten, allerdings gab es in jüngster Vergangenheit auch einige Fälle, in denen dies nicht der Fall war.

Verschlüsselungstrojaner werden in den meisten Fällen aus rein kommerziellem Interessen in Umlauf gebracht. Hinter einer solchen Software stehen meist keine Einzelpersonen, sondern gut organisierte Gruppen. Die eingesetzte Software wird auf dem aktuellen Stand gehalten und die Verbreitungskomponenten, je nach aktuellen Möglichkeiten, mit dem Code zur Verschlüsselung kombiniert. Dadurch entsteht eine sehr anpassungsfähige Infrastruktur zur Verteilung von Schadcode, die unterschiedlichste Verbreitungswege von der Massenmail bis zum gezielt gehackten Server beherrscht.

Interessanterweise ist in den letzten Monaten eine Abnahme des Interesses und der bekanntwerdenden Vorfälle in dem oben beschriebenen Bereich zu verzeichnen. Die Anzahl der Verschlüsselungsvorfälle scheint signifikant abzunehmen. Da sich die oben beschriebenen Gruppierungen aber vermutlich nicht alle spontan aufgelöst haben, liegt die Vermutung nahe, dass sie sich neuen, lukrativeren Methoden zugewendet haben.

Im selben Zeitraum in dem die Abnahme der Verschlüsselungsvorfälle zu beobachten ist, finden sich zunehmend häufiger Hinweise auf Vorfälle bei denen eine Verteilung von Schadsoftware beobachtet wird, die Rechner missbraucht, um Cryptowährungen zu erzeugen. Zu diesem Zweck wird eine Software als Schadkomponente genutzt, die Rechneroperationen durchführt, um Bitcoin und verwandte Cryptowährungen zu erzeugen.

Durch den aktuellen Boom im Bereich von Cryptowährungen und die damit einhergehenden Kursanstiege, ist das sogenannte Schürfen solcher Währungen in der letzten Zeit sehr attraktiv geworden. Dies zeigt sich im legalen Bereich darin, dass zunehmend Systeme geschaffen werden, die möglichst viel Rechenleistung für das Erzeugen solcher Währungen bereitstellen. Dadurch steigen momentan unter anderem Preise für leistungsfähige Grafikkarten stark an.

Da die oben angesprochenen Gruppen, die bisher die Verschlüsselung von Rechnern zum Geld verdienen genutzt haben, schon über eine Infrastruktur zum verdeckten Verteilen unerwünschter Software auf eine Vielzahl von Rechnern verfügen, können sie auf diese Welle relativ leicht aufspringen. Sie benutzen ihre bewährte Infrastruktur weiter und verteilen damit als Nutzlast die entsprechende Miningsoftware, anstatt die Rechner zu verschlüsseln. Die Ergebnisse werden, ähnlich wie vorher die Entschlüsselungsinformationen, auf einem Netz von zentralen Systemen gesammelt.

Diese einfache Weiterentwicklung erklärt die momentane Bewegung von der Verschlüsselung zur Erzeugung von Cryptowährungen. Aus Sicht der Systembetreiber wird das Problem dadurch leider nur wenig kleiner. Befallene Systeme verbrauchen mehr Strom und werden langsamer. Sind die Systeme in der Cloud angesiedelt und werden nach verbrauchter Rechenleistung abgerechnet, können dabei auch erhebliche Kosten entstehen. Weiterhin ist ein befallener Rechner weiterhin als nicht mehr vertrauenswürdig zu betrachten.

Wenn ein System einmal übernommen wurde, werden von diesem Rechner alle Ressourcen benutzt, die zur Verfügung stehen. Das beginnt bei erbeuteten Passworten, die dazu verwendet werden können, die Schadsoftware auf weitere Systeme zu verteilen und endet (nicht) bei einer etablierten Hintertür auf dem Rechner, damit die Schadsoftware aktualisiert und an potentielle Änderungen des Geschäftsmodells angepasst werden kann.

Infektionen sollten daher auch bei einem Befall mit Miningsoftware unbedingt ernstgenommen werden. Infektionen mit Schadsoftware gefährden immer die Dienste und Daten auf den befallenen Maschinen. Ein ‚erbeutetes‘ System wird immer dazu genutzt, womit sich gerade das meiste Geld verdienen lässt. Wenn der Bitcoinkurs wieder in den Keller geht und die alten Mechanismen wieder mehr Geld versprechen, sind die befallenen Systeme in kürzester Zeit auch wieder verschlüsselt.

Immer wieder werden uns Fälle bekannt, in denen einfache NAS Geräte als Massenspeicher am Universitätsnetzwerk betrieben werden. Diese Geräte werden oft einmalig eingerichtet und am Netz für lange Zeit (schlimmstenfalls ohne Backup) betrieben.

Dabei ist vielen Betreibern nicht bewusst, dass der Betrieb eines solchen Geräts im Universitätsnetz nicht so betrachtet werden kann, wie in einem privaten Netz zuhause. Eine IP-Adresse im Universitätsnetz ist universitätsweit, wenn nicht gar weltweit, zu erreichen. Wenn keine bewussten Schutzmaßnahmen getroffen werden, sind diese Geräte damit aus großen Netzbereichen angreifbar. Das ermöglicht automatisierte Scans auf bekannte Lücken in diesen Systemen und Ausnutzung der gefundenen Verwundbarkeiten, zum Beispiel für Verschlüsselungsangriffe.

Daher besteht die dringende Notwendigkeit, NAS Geräte abzusichern und die Firmware auf dem aktuellen Stand zu halten. Leider werden die notwendigen Updates für die Geräte von den Herstellern meist nur langsam und für eine begrenzte Zeit zur Verfügung gestellt. Da die Software meist auf Linux basiert und auch entsprechende Webservices enthält, sind die Geräte oft direkt von Lücken in diesen Komponenten betroffen.

Aktuelles Beispiel für die Problematik ist die Ausnutzung der sogenannten SambaCry Lücke in der Sambaimplementation von Linux. Diese Lücke wird inzwischen bei Cryptoangriffen ausgenutzt, um Netzwerkfestplatten zu verschlüsseln. Wenn eine Festplatte nicht vom Hersteller gepatcht oder der entsprechende Patch nicht eingespielt wurde, genügt ein Rechner im entsprechenden Netzbereich, um alle Netzwerkplatten zu verschlüsseln.

Wir empfehlen Netzwerkfestplatten nicht in Bereichen mit öffentlichen Adressen zu betreiben, da dies ein unkalkulierbares Risiko für Verfügbarkeit und Vertraulichkeit der dort gespeicherten Daten darstellt. Wenn NAS Systeme betrieben werden, muss dringend darauf geachtet werden, dass der Hersteller noch sicherheitsrelevante Updates zur Verfügung stellt und diese zeitnah eingespielt werden.