ComputerBase Menü
Aktuelles

Hat Ransomware Zugriff auf Netzwerkfreigaben anderer User?

stna1981

stna1981

Commander
Registriert
März 2007
Beiträge
2.569
Moin zusammen,

wie ist das denn, wenn man sich eine Ransomware einfängt, die verschlüsselt doch dann alle Dateien, die sie in die Finger bekommt, auch USB und Netzlaufwerke. Das passiert dann aber vermutlich mit dem aktuellen User oder? Wenn ich nun eine (Windows-)Netzwerkfreigabe habe, z. B. für Backups, auf die nur ein ganz bestimmtes Nutzerkonto von Windows Zugriff hat, dann hat die Ransomware doch mit dem aktuellen User erstmal keinen Zugriff darauf, oder?

Hab ich da einen Denkfehler? Wenn ich den freizugebenden Ordner so einrichte, dass dieser spezielle User sowohl der Besitzer ist als auch der einzige, der auf die Freigabe zugreifen kann, sprich selbst die Admins als Gruppe entferne, auf welchen Wegen kann man dann ggf. noch auf den Ordner zugreifen, ohne dass der spezielle User im Spiel ist?

Viele Grüße

Stefan
 
Du kannst davon ausgehen, dass alles verschlüsselt wird, was irgendwie erreichbar ist.
Auf Berechtigungen würde ich mich nicht verlassen.
 
  • Gefällt mir
Reaktionen: K3ks
Solange Windows AD nicht kompromitiert ist, liegst du richtig. Wenn allerdings ein Service User regelmäßig automatisiert Backups macht, dann solltest du im Auge behalten, dass der dann gegebenenfalls die verschlüsselten Daten backuped...
 
Und wie machst du dann dein Backup? Du gibst dann Handisch deine Daten ein? Oder wie hast du dir das vorgestellt?
Weil wenn du das dann Händisch machst kannst du es auch einfach Abstecken/Anstecken ist dann grob gleicher Aufwand. Bist aber letztendlich sicherer.
 
@PC295 Warum nutzt du explizit eine besondere Schriftfarbe? Die kann man im Darkmode nicht sehen.

1757664126436.png
 
  • Gefällt mir
Reaktionen: SpiII, Darklordx, Der Lord und 6 andere
gaym0r schrieb:
@PC295 Warum nutzt du explizit eine besondere Schriftfarbe? Die kann man im Darkmode nicht sehen.
Zum Vergrößern anklicken....
Muss nicht unbedingt vom ersteller sein. Meine Post wurden auch schon wegen Schriftfarbe geändert obwohl ich nichts eingestellt hatte.
 
  • Gefällt mir
Reaktionen: PC295
Es gibt da ganz fiese Techniken, Lateral Movement, Privilege Escalation und andere Dinge, die dafür sorgen, dass entweder der aktuelle User durch Schwachstellen und/oder Exploits mehr Rechte bekommen kann und somit eben nicht nur auf seine Daten, sondern auf möglichst alle Daten Zugriff erlangt.
Jenachdem muss man nicht mal ein Passwort des Adminusers oder des Serviceusers haben, da reicht unter Umständen schon der Passwort Hash oder das Kerberos Ticket ...... (mal ganz vereinfacht gesagt ;-) )

Grüsse

Gulkp
 
  • Gefällt mir
Reaktionen: gaym0r und stna1981
Naja wenn man sich ne Ransomware gefangen hat, merkt man das ja idR ziemlich schnell. Dass dann ggf. ein oder zweimal ein verschlüsseltes Delta gesichert wird, wäre nicht dramatisch, solange die alten Backups erhalten blieben. Das Problem beim automatisierten Backup wäre aber in der Tat, dass der Dienst oder das Programm die Userdaten ja speichern müsste. Wenn dann dieser Prozess kompromittiert wäre, hätte die Ransomware auch Zugriff auf die alten Backups. Ich könnte es höchstens aufteilen, Daily Backups automatisiert und monatliche manuell auf eine andere Freigabe.

Natürlich ist das sicherste eine separate Platte und/oder ein Cloud Backup außer Haus, aber trotzdem kann man es der Ransomware ja so schwer wie möglich machen.
 
Die Ransomware bekommt die Rechte des Users, in deren Kontext sie gestartet wird. Das ist soweit korrekt.
Eine Brücke ist aber z.B., wenn du unter dem User ein Netzwerklaufwerk mit anderen Anmeldenformationen verbindest.
 
  • Gefällt mir
Reaktionen: qiller
Dass man das schnell merkt ist durchaus ein weit verbreiteter Irrglaube, die Infektion erfolgt meist rund 150-200 Tage vor dem eigentlichen Ereignis, also der eigentlichen Verschlüsselung. In der Zeit sind oft nicht nur eine Gruppe am Werk, sondern mehrere ......

Grüsse

Gulp
 
  • Gefällt mir
Reaktionen: TorenAltair und gaym0r
Wie #9 schreibt, wenn du aber in Windows die Anmeldedaten vom NAS gespeichert hast und du ohne Login direkt auf z.B. \\192.168.1.10 kommst inkl. Admin Rechten, dann ist das schlecht.
Die Ransomware beginnt zuerst die Dateien auf dem PC zu verschlüsseln und geht dann weiter zu Netzlaufwerken, auf dem Desktop sieht man es am schnellsten.
 
Eine vernünftige Backup-Software kann explizite Zugangsdaten für ein Speicherziel sicher speichern.

Der Veeam Agent kann das z.B.
 
Aber ob die Credentials in der Backup Software sicher sind, bleibt offen. Habe es aber genauso gelöst.
Für alles weitere hat man dann backups seiner backups...
 
Nein, nur mit den Rechten unter dem die Ransomware läuft.
Als Administrator sind auch alle anderen betroffen.
Als User nur du.
 
@JennyCB Stimmt so auch nicht ganz... Ein local Admin sollte eigentlich auch keine Berechtigungen auf einem Netzlaufwerk haben.

Aber wurde ja schon gesagt, kommt darauf an wie die Berechtigungen gesetzt sind. Und da gibts ja bekanntlich von ... bis ;)
 
Unter Windows hast du entweder ein Admin-Konto oder ein eingeschränktes Benutzer-Konto.
Ransomware verschlüsselt jede Datei zur der du Rechte hast.
 
stna1981 schrieb:
Natürlich ist das sicherste eine separate Platte und/oder ein Cloud Backup außer Haus, aber trotzdem kann man es der Ransomware ja so schwer wie möglich machen.
Zum Vergrößern anklicken....
Es kommt ein bisschen darauf an, wie lukrativ ein Ziel ist (Von der möglicherweise zu erpressenen Summe)
Wenn es lukrativ sein könnte, wird vor dem Einsatz der Software auch noch aktiv versucht Zugriff auf backups zu bekommen.

Gulp schrieb:
die Infektion erfolgt meist rund 150-200 Tage vor dem eigentlichen Ereignis, also der eigentlichen Verschlüsselung. In der Zeit sind oft nicht nur eine Gruppe am Werk, sondern mehrere
Zum Vergrößern anklicken....
Tatsächlich ist es oft eine Netz verschiedener Akteure.
Akteur1 infiltriert das System und verkauft den Zugang an eine andere Gruppe! Je besser der Zugang, desto mehr Geld bekommt er!
Akteur2 verschlüsselt das System.
Akteur3 wickelt die Erpressung inkl. Zahlungsverkehr ab.

Es kann auch alles zusammen eine große Gruppe sein, das ist aber eher selten.
 
  • Gefällt mir
Reaktionen: User38
stna1981 schrieb:
Naja wenn man sich ne Ransomware gefangen hat, merkt man das ja idR ziemlich schnell.
Zum Vergrößern anklicken....
Erstmal werden möglichst viele Daten gesammelt über Zugänge etc.
Wenn es dann noch eine fortgeschrittene Variante ist, kann diese sich z.B. auch in die Firmware von Festplatten schreiben. Das wird man aber natürlich nur bei wertigen Zielen finden.
Und dann so wie @Gulp schrieb, kommt erst der „merkbare“ Vorgang.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

interface31
Wireguard User in Domäne Zugriff auf Netzwerk
Antworten
4
Aufrufe
2.272
interface31
interface31
Rappi789
Kein Zugriff auf Netzwerkspeicher wenn Netzlaufwerkverbindung eingerichtet
2
Antworten
30
Aufrufe
6.695
Recruit
Recruit
C
Zugriff auf Netzwerkfreigabe nicht möglich nachdem einmal falsche Benutzerdaten eingegeben wurden
Antworten
6
Aufrufe
4.048
cumulonimbus8
cumulonimbus8
M
Zugriff auf Netzwerkressource auf einmal nicht mehr möglich
Antworten
3
Aufrufe
2.574
Hayda Ministral
Hayda Ministral
C
Festplatte ohne Zugriff / Ransomware
2
Antworten
25
Aufrufe
2.530
pedder59
pedder59
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz