Asustor hackade av deadbolt

Permalänk
Medlem

En länk som kan relevant.
https://www.nomoreransom.org/

Citat:

Rättsväsendet och IT-säkerhetsbolag har börjat samarbeta för att störa cyberbrottslingar vars verksamhet har kopplingar till ransomware.

“No More Ransom” hemsidan är ett initiativ av den nationella högteknologiska brottsenheten hos Nederländska polisen, Europols europeiska cyberbrottslighets center, Kaspersky och McAfee med målet att hjälpa offer för ransomware att återfå sin krypterade data utan att behöva betala brottslingarna.

Då det är mycket enklare att undvika hotet än att bekämpa det då ett system blivit påverkat så har projektet också som mål att utbilda användare om hur ransomware fungerar och vilka motåtgärder man kan ta för att effektivt förhindra infektering. Desto fler parter som stödjer det här projektet, desto bättre kan resultaten bli. Detta initiativ är öppet för andra publika och privata parter.

Permalänk
Medlem
Skrivet av ca6:

Hade mindre tur, min NAS visades som oinitierad i Control Center

Lyckades få min 6404T att boota från en USBsticka med Ubuntu på, följande dessa instruktioner och jag kommer åt diskarna, söker just nu efter hur mkt deadbolt jag råkat ut för, hittills endast min mp3samling som jag har backup på lös hårddisk ändå

Citat:

create a bootable Ubuntu stick

as a precautionary measure, remove all drives from the NAS. Plug in the USB stick

plug a monitor, mouse and keyboard into the NAS. Plug in ethernet

press power button and spam escape key

you should end up on bios. select USB stick as boot volume

it will take some time but you will eventually get into the Ubuntu desktop where you can select to "try" the copy from the USB stick.

put your drives back in

open terminal (windows key, start typing terminal and it will show up)

sudo apt-get install mdadm

sudo mdam --assemble --scan

it should now have found your drives and mounted the array. You can find it under "other locations" in the file explorer and start poking around to assess the damage.

Jag har en AS6404T med en fyradiskars RAID5 setup.

Permalänk
Medlem
Skrivet av hasenfrasen:

Läste att chans finns att filen är intakt trots att den heter .deadbolt pga hur långt i ransomwareprocessen den hade kommit med just den filen. Dvs döp om ändelsen och kika efter.

Tack för tipset!

Jag testade det på ett par filer, fungerade på några. Tog bort det oviktiga och rarar nog ner det andra krypterade utifall en nyckel släpps i framtiden.

Skrivet av ca6:

Hade mindre tur, min NAS visades som oinitierad i Control Center

Tror det stod så för mig med faktiskt. Redo att förlora all data så klickade jag bara vidare och vips så var det mesta som vanligt. Jag startade NASen utan HDD och sköt in den efter patch.

Men jag kände att jag inte hade så mycket att förlora så ta inte ovanstående som någon form av garanti. Håller tummarna!

Permalänk
Medlem
Skrivet av sterling:

Tack för tipset!

Jag testade det på ett par filer, fungerade på några. Tog bort det oviktiga och rarar nog ner det andra krypterade utifall en nyckel släpps i framtiden.

Tror det stod så för mig med faktiskt. Redo att förlora all data så klickade jag bara vidare och vips så var det mesta som vanligt. Jag startade NASen utan HDD och sköt in den efter patch.

Men jag kände att jag inte hade så mycket att förlora så ta inte ovanstående som någon form av garanti. Håller tummarna!

Ja, jag testade det efter ett tag med och nu ser det ut som vanligt. Hittills är det bara ett gäng mp3filer som krypterats

Permalänk
Medlem

Det står i rekommendationerna att stänga av Terminal/SSH och SFTP. Vad menas mer specifikt?

Jag accessar SSH endast från lokalt nätverk. Ej öppet mot internet.
SFTP är jag beroende av då jag har kunder som loggar in mot det och lämnar data. Den kör mot ickestandard port, har starka lösenord och är ip-avgränsad i routern.

På vilket vis är SSH eller SFTP en säkerhetsrisk i min situation? SSH om den breachas är ju katastrof förstås. Men SFTP???

Finns ju förstås andra lösningar runt detta, men smidigheten med SFTP, med de säkerhetsåtgärder jag gjort borde ju vara tillräckligt. Vad specifikt är det som är en brist med SFTP hos Asustor?

Permalänk
Medlem

Asustor har nu, utöver lagt upp tips till de som inte blivit påverkade vad som är bra att tänka på, även lagt upp guide om hur steg-för-steg komma åt deadbolt-filer. Som jag tolkar det skall man inte behöva betala för en dekryperingsnyckel.

https://www.asustor.com/en-gb/knowledge/detail/?id=6&group_id...

Det verkar redan finnas exempel på att det fungerar på https://forum.asustor.com/viewtopic.php?f=45&t=12630&start=24...

tillägg
Permalänk
Medlem
Skrivet av Barsk66:

Det står i rekommendationerna att stänga av Terminal/SSH och SFTP. Vad menas mer specifikt?

Jag accessar SSH endast från lokalt nätverk. Ej öppet mot internet.
SFTP är jag beroende av då jag har kunder som loggar in mot det och lämnar data. Den kör mot ickestandard port, har starka lösenord och är ip-avgränsad i routern.

På vilket vis är SSH eller SFTP en säkerhetsrisk i min situation? SSH om den breachas är ju katastrof förstås. Men SFTP???

Finns ju förstås andra lösningar runt detta, men smidigheten med SFTP, med de säkerhetsåtgärder jag gjort borde ju vara tillräckligt. Vad specifikt är det som är en brist med SFTP hos Asustor?

SFTP använder sig av SSH för att kryptera filöverföringar och det beror lite grann på vilken version som används och hur starkt certifikat. Jag vet givetvis inte exakt hur du gjort med din NAS, men är SSH värt att stänga så är SFTP det också, speciellt om du kör på standardport.
https://en.wikipedia.org/wiki/SSH_File_Transfer_Protocol

Observera även skillnaden på "riktig" SFTP samt FTP/S. Vet givetvis inte hur relevant det är i ditt läge, men kan vara värt att kolla.
Personligen använder jag Bitvise för privat backup från webhost till lokal lagring, och kör det på en virtuell maskin, inte på NAS.

Visa signatur
Permalänk

Är det klargjort hur det tagit sig in? Måste vara Asustor som blivit hackade på något sett va?

Fan nu vågar man ju aldrig köra quickconnect igen, polaren säger att synology är mycket säkrare, men det kan man ju knappast lita på i dessa ransom tider...

Visa signatur

Live for fun, Loyal to none

Permalänk
Medlem

Jag är ganska övertygad om att inget märke är säkrare än något annat så länge man tillåter anslutning utanför sitt eget nätverk med portar öppna och ingen VPN, då spelar det knappast någon roll om det står Synology eller något annat på burken.

Själv har jag kört QNAP och Asustor i flera år och inga ransombesvär vare sig när QNAP åkte på det eller nu senast de sistnämnda.

Permalänk
Medlem
Skrivet av blue eyed devil:

Är det klargjort hur det tagit sig in? Måste vara Asustor som blivit hackade på något sett va?

Fan nu vågar man ju aldrig köra quickconnect igen, polaren säger att synology är mycket säkrare, men det kan man ju knappast lita på i dessa ransom tider...

Det som spekulerats är att intrånget gick via PLEX då denna har en remote-kontroll funktion med förmodligen default-password..

Förmodligen är inte SSH/SFTP påverkat men innan man vet så vill ASUSTOR få folk att klippa alla anslutningar till publik internet (vilket quick-conect, EZ-connect mfl. erbjuder för att det skall vara 'enkelt' för alla som sitter bakom CG-NAT:ade nät.)

Men har man remote-control på PLEX aktivt, uPnP-servicar igång och någon av det läcker igenom routern och/eller via reverse proxy (EZ-connect etc.) utanför så ber man om att bli hackad...

All publikt åtkomlig NAS/server-tjänst så måste man rusta för att det en dag blir hackat och allt man har på servern blir förstört/försvinner - med andra ord ha backupper på allt - offline och inte synkas upp och de gamla kopiorna skrivs över inom närtid eller med automatisk process. - Skall man ha automatisk process så måste man tänka igenom noga med 'pull'-packup[1] och den backupservern har generations/sessions-hantering av backup eller motsvarande, samma sak på en molntjänst.

De flesta 'billiga' molntjänster har inte sessions eller generationshantering av de uppsända filerna utan det är bara den sista versionen som syns där - skall man ha generation/sessions hantering så innebär det extra kostnad i de flesta fallen då att ha nuvarande version och tidigare generationer i en eller flera generationer tillbaka innebär att det tar mer plats för molntjänsten och det ger dom inte bort gratis...

Blackblaze B2 hanterar versioner och man kan hämta tillbaka äldre versioner inom en tidsrymd (30 dagar normalt, men är ställbart i B2) - men platsen som de gamla versionerna upptar innan de gör 'expire' ingår också i den totala lagringsmängden man betalar för per månad.

[1]
Backupservern loggar in sig på NAS tex. som 'root' eller annan root-behörig användare med open-SSH-nycklar med tex. rsync och synkar NAS:ens innehåll mot backupserverns spegel av filer på NAS:en. - rsync hanterar att logga in sig via SSH på kommandoraden och därmed kan scriptas - att man också i det fallet kör med open-SSH-nycklar är för kunna automatisera det och inte stanna på att någon skall slå in passwordet för att det skall kunna fortsätta, också för att SSH har mycket högre säkerhet i transaktionerna fram och tillbaka i nyckelförhandlingen med publika och hemliga nycklar som garanterar att man pratar med exakt den servern man tänkt att prata med och inte någon som ser ut som rätt server men är något annan med adress-spoofing.

Backupservern i sig kör filsystem som det är lätt att göra snapshot i (som tex BTRFS/ZFS) och därmed kan hålla backup-generationer som inte påverkar varandra även om den nyss gjorda synkningen innehåller bara ransomware-krypterade filer...

Att man kör som root eller root-behörig användare beror på att undvika rättighetskonflikt på NAS:en så att man inte riskera missa filer som av rättighetsskäl inte kan kopieras om man är någon annan typ av användare.

Med 'pull'-backup menas att NAS:en som det görs säkerhetskopia av - har inte en aning var datat kopieras bort till och därmed kan inte spåra var datat backas mot för maskin eller hitta någon IP-adress, konto eller inloggnings-information för backupservern.

Medans initierar och sänder NAS:en backup självmant till en annan backupserver (push-backup) så har den all information som behövs för ett smart virus att även angripa en backupserver då det har maskinnamn, IP och inloggningsuppgifter!

Man får alltid anta att ransomware-viruset har gjort sig själv till 'root'-behörig, så det finns inget skyddat eller hemligt på NAS:en

Permalänk
Medlem
Skrivet av xxargs:

Det som spekulerats är att intrånget gick via PLEX då denna har en remote-kontroll funktion med förmodligen default-password..

Nej, det är inget defaultlösen hos Plex. Däremot så sätter användarna det själva när de skapar konto med alla risker det kan innebära med återanvändning och svaga lösenord.

Troligare är att auth token har läckt nånstans. Finns indikationer på att det har hänt Plex den senaste tiden.
https://forums.plex.tv/t/plex-server-scans-for-wallets/

Permalänk
Vila i frid
Skrivet av clnr:

Finns indikationer på att det har hänt Plex den senaste tiden.

Kanske värt att tillägga, Plex vet fortfarande inte hur det går till och man jobbar fortfarande på det.

Permalänk
Medlem
Skrivet av hasenfrasen:

Kanske värt att tillägga, Plex vet fortfarande inte hur det går till och man jobbar fortfarande på det.

Bra poäng, det glömde jag skriva.

Permalänk
Medlem
Skrivet av ninecats:

Asustor har nu, utöver lagt upp tips till de som inte blivit påverkade vad som är bra att tänka på, även lagt upp guide om hur steg-för-steg komma åt deadbolt-filer. Som jag tolkar det skall man inte behöva betala för en dekryperingsnyckel.

https://www.asustor.com/en-gb/knowledge/detail/?id=6&group_id...

Det verkar redan finnas exempel på att det fungerar på https://forum.asustor.com/viewtopic.php?f=45&t=12630&start=24...

Du har tyvärr tolkat det fel, instruktionerna för att mata in dekrypteringsnyckeln förutsätter att man betalat utpressarna och fått en nyckel från dem. Jag ser inget exempel på annat i tråden du länkar, utan rådet där är att spara de krypterade filerna ifall krypteringen knäcks i framtiden. Men man ska nog inte ha särskilt stora förhoppningar om att det kommer hända den närmaste tiden, deadbolt är ju inte nytt utan t.ex. Qnap drabbades för en månad sedan.

Däremot så verkar det som att inte .deadbolt-filer inte alltid hunnit bli krypterade om man stängt av i tid, så det kan eventuellt gå att få tillbaka en del utan att betala. Men har filerna blivit krypterade så är det tyvärr kört.

Permalänk
Medlem

Jaha, åkte på samma igen. Följt alla instruktioner från Asustor och nollställt portarna i routern så vettefan hur de kom in. Kanske ligger det kvar skadlig kod om man inte formaterat hårddisken efter uppdatering? Nu blev det om-initiering och börjar om från början. Vilket sattyg alltså. Stryk ska dem ha!

Permalänk
Medlem

Rensade du i 'cron' och crontab? - där finns det troligen script inlagt som återaktiverar det hela inom ett dygn om du lyckats ta dig in tidigare och byta ut index.cgi tidigare

Virus av den typen försöker vara så resilient som det bara går och lägger in saker som säkra dess återaktivering förr eller senare även om användaren rensar bort det mest uppenbara delarna i angreppet.

Att OS är angripet av virus är att betrakta sig som osäker och man måste börja från början - du skall helst inte ens göra återinitieringen via NAS:ens inbyggda lilla NVMe-lagring utan bör göras från USB-sticka med nedladdad image som du vet är friskt - för kan viruset klamra sig kvar på systempartitioner så kan den också skriva in sig på NVMe-minnet i NAS:en och du är inte av med smittan och den ligger vilande och kan teoretiskt utlösas igen lång tid framöver vid tex. en ny återställning/ominstallation när NVMe-lagringen används igen

Permalänk
Medlem
Skrivet av xxargs:

Rensade du i 'cron' och crontab? - där finns det troligen script inlagt som återaktiverar det hela inom ett dygn om du lyckats ta dig in tidigare och byta ut index.cgi tidigare

Virus av den typen försöker vara så resilient som det bara går och lägger in saker som säkra dess återaktivering förr eller senare även om användaren rensar bort det mest uppenbara delarna i angreppet.

Att OS är angripet av virus är att betrakta sig som osäker och man måste börja från början - du skall helst inte ens göra återinitieringen via NAS:ens inbyggda lilla NVMe-lagring utan bör göras från USB-sticka med nedladdad image som du vet är friskt - för kan viruset klamra sig kvar på systempartitioner så kan den också skriva in sig på NVMe-minnet i NAS:en och du är inte av med smittan och den ligger vilande och kan teoretiskt utlösas igen lång tid framöver vid tex. en ny återställning/ominstallation när NVMe-lagringen används igen

Nej jag vet inte ens vad det är. Följde Asustors instruktioner, missade dock att ta bort ransomware appen så kanske var det den som ägde mig? Skit bakom spakarna säkert men jag orkar bara inte sitta och pula med saker jag inte begriper mig på. Tycker det är uselt att de inte ger bättre information.

Tack ska du ha iaf som tog dig tid och förklara för en vanlig användare.

Permalänk
Medlem

Jag förstår problemet - kör man bara på GUI och webb-interface och aldrig öppnat en SSH-terminal så ser man inget av det som händer bakom webbsidorna, det mesta som du gör på webbsidorna slutar med en kommandorad någonstans i slutändan och just 'cron' hanterar schemalagda processer som tex. när en backup skall startas etc.

Att deadbolt-viruset också pillar i 'cron' för sin 'återuppståndelse' vid borttagande såg jag i en inlägg hos 'reddit', men för att hitta sådant bör man ha en viss linux-terminal-vana och kännedom hur sådant fungerar och veta när något ser onormalt ut och inte hör hemma i tex. filerna som styr 'cron' och även med detta så är inte Asustor i terminal-mode speciellt användarvänligt då väldigt mycket 'bra och ha' är bortrensat och inget som kan installera enkelt på samma sätt som i Ubuntu med en 'apt install...' - åtminstone på den 304 jag har...

faktum är att det är bättre att ta ut diskarna och sätta dessa i diskdockor/SATA-anslutningar och köra under en Ubuntu än att försöka plåga sig runt genom en SSH-terminal direkt på NAS:en - till detta har man möjlighet att göra backup genom ubuntu utan risk för att återaktivera virus och förstör ännu mera under backuptagningen än om du försöker genom NAS:en.

Kör man en ubuntu så förstår dom formaten direkt och sätter ihop dina RAID-strukturer så att du kan läsa i dem under /media/user/...

första partitionen med OS brukar vara som separata diskar med en OS-del [för att det inte skall spela roll vilken ordning diskarna sätts i NAS för att den skall kunna boota korrekt] på var disk medans swap-area och själva lagringen är i multidisk-RAID

modernare ASUSTOR kan ha annan upplägg - men 304 var uppsatt så.

---

Jo en sak till som jag lärde mig i övningen - använder man diskdockor från deltaco https://www.webhallen.com/se/product/182550-Deltaco-Docknings... och alla andra 'varumärken' med samma utseende och form...

För att hantera flera diskar samtidigt - slå av UAS (USB attached SCSI) enligt andra svaret i https://unix.stackexchange.com/questions/573802/how-to-disabl... [1] innan du ansluter diskarna - obs. minst en diskdocka utan diskar monterade måste vara ansluten för denna operation, annars hittas inte ID-nummren för USB-enheten som man skall stänga av UAS-delen på. - Linux har långa listor på olika USB/SATA-chip som inte fungerar bra i UAS och Jmicron är en av de värsta, dessvärre kan varje produkt ha sin egna USB-identifikation och dessa är inte alltid med i listan, därav ovanstående operation.

Buggarna i jmicron-chipen för UAS-mode i dessa USB-adaptrar/diskdockor är jättestörande med USB-bushängningar hela tiden att det är nära på nivå oanvändbart om man kör med mer än 1 disk i taget, och försöker man ändå i UAS-mode med 1 disk så kör man på 'B-slot' medans A-slot är nära på oanvändbart även med 1 disk.

[1] näst sista kommandot i inlägget ger alltid 'fel' - ignorera och kör sista kommandot ändå.

Permalänk
Medlem

Det var jag som gjorde bort mig och side-loadade en ransomware-app från Asustor. Den "aktiverar" deadbolt för att de som synd nog betalat för dekryptionsnyckeln ska kunna skriva in den.

Korkad och stressad läste jag inte ordentligt utan trodde att appen skulle göra ungefär det som du beskriver ovan. Som straff blev det en formatering av NASen som nu är uppe och snurrar igen utan besvär.

En läxa och lärdom till framtiden. NASen är bara plexserver lokalt framöver så det är inte hela världen om någonting händer igen. Har ingen viktig eller känslig data där. Det är min tysta protest och knutna näve i fickan mot cyberbrottslighet. Hoppas att de ansvariga drabbas av segt internet och dåligt silikon för all framtid.

Permalänk
Medlem
Skrivet av sterling:

Hoppas att de ansvariga drabbas av segt internet och dåligt silikon för all framtid.

Och för evigt smulor i sängen!

Permalänk
Medlem

Idag ser jag

Citat:

Updating firmware from 3.5.8.RQA1 to 3.5.9.RQO2

Visa signatur
Permalänk
Vila i frid
Skrivet av Homdax:

Idag ser jag

Ska bli intressant att läsa den "post mortem" rapport som lär komma efter den detaljspäckade changeloggen "Fix security vulnerabilities". Inte kan de skriva korrekt engelska heller. Man kan tyda det där på två sätt, att man fortfarande håller på att fixa sårbarheten eller att man inte kan engelska och det egentligen borde vara "Fixed security vulnerabilities".

Permalänk
Medlem

Dessutom när jag loggar in på NAS dyker detta up.

Känns som ett (sent) steg i rätt riktning.

Med länk hit: https://www.asustor.com/online/College_topic?topic=353

Det enda jag inte har åtgärdat där är väl ett ssl cert, men behövs knappast lokalt.

Visa signatur
Permalänk
Medlem
Permalänk

De är uppe i 3.5.9,RRS1 nu.

ASUSTOR is not supporting ADM 4.0 on older enclosures, namely those part of the AS-20, AS-30, AS-60 families. Instead, security patches and minor updates will be rolled out for ADM 3. See below for the list of changes in 3.5.9.RRS1:

  • The minimum TLS protocol for HTTPS connections is now transparently displayed. If the TLS protocol version used by a browser does not meet the security settings, a connection will not be established. TLS 1.0 will no longer be supported for security reasons.

  • Improved security with enabling the HTTP Content Security Policy header.

  • Added ransomware and malware removal mechanisms that recognize abnormal behavior.

  • OpenSSL updated to fix potential vulnerabilities: CVE-2022-0778.

  • Fix potential security issues.

Helt sjukt, men jag som brukar råka ut för allting verkar ha klarat mig. Jag stängde ner NASen och drog ur alla sladdar samma kväll när jag läste nyheten, men då hade det ändå gått ett par timmar. Kopplade in nu när jag fixat med extra hårddiskar för att dumpa alla krypterade filer till, men inte en enda.

Permalänk
Medlem
Skrivet av thompalainen:

De är uppe i 3.5.9,RRS1 nu.

Uppad. Tack.

Visa signatur
Permalänk

Upptäckte nu att min Asustor NAS är hackad. 4 månader senare hehe.

Visa signatur

NR200P || 5600X || 3080 Strix ||