Erpressungs-Trojaner: Time-Machine-Backups anfällig

Die Entwickler der OS-X-Ransomware KeRanger haben auch Time-Machine-Backups als Angriffsziel erwogen. Tatsächlich ist es möglich, selbst ohne Admin-Rechte Dokumente in der Datensicherung zu verändern.

In Pocket speichern vorlesen Druckansicht 152 Kommentare lesen
Time Machine
Lesezeit: 2 Min.

Der auf OS-X-Nutzer abzielende Erpressungs-Trojaner KeRanger will künftig möglicherweise auch versuchen, auf Time-Machine-Backups zuzugreifen, um die dort gesicherten Daten des Nutzers ebenfalls zu verschlüsseln. In den von der Sicherheitsfirma Palo Alto Networks untersuchten KeRanger-Ausführungen war die Funktion "_encrypt_timemachine" bereits integriert, aber noch nicht aktiv.

Der Trojaner arbeitet mit normalen Benutzer-Rechten. Mit diesen ist es nicht ohne weiteres möglich Time-Machine-Backups zu verändern oder gar zu löschen. Ein entsprechender Versuch wird aufgrund fehlender Rechte mit einer Fehlmeldung quittiert. OS X sichert das Backup hierzu mit Access Control Lists (ACL) ab.

Allerdings lässt sich dieser ACL-Schutz umgehen. Mac & i konnte in internen Tests Backup-Dateien mit ganz normalen Nutzerrechten und ohne Angabe eines Admin-Passworts löschen. Ein Erpressungs-Trojaner könnte das folglich auch.

Time Machine kann zwischen Backup-Laufwerken abwechseln

Zum Schutz vor Angriffen auf Time-Machine-Backups können Nutzer ein rotierendes Backup anlegen: Dazu schließt man eine weitere Festplatte an den Mac an und richtet diese als zusätzliches Backup-Volumen ein. Dies ist in der Systemeinstellung für Time Machine möglich: Dort klicken Sie auf “Volume auswählen” und wählen das gewünschte Backup-Laufwerk aus. Die anschließende Meldung bestätigen Sie mit “Beide verwenden”. Time Machine sichert dadurch künftig abwechselnd auf beiden Platten.

Nach dem ersten erfolgreichen Backup, wirft man die Platte wieder aus und trennt diese physisch vom Mac. Time Machine sichert dann wie gewohnt weiter auf dem bisherigen Backup-Laufwerk. Die zweite Backup-Platte sollten Sie in regelmäßigen Abständen anschließen. Es empfiehlt sich, eine Erinnerung für die beispielsweise monatlich durchgeführte manuelle Sicherung anzulegen.

Sollte Schadsoftware das Haupt-Backup ruinieren, hat man immer noch einen älteren Stand der Daten und damit zumindest nicht alles verloren. Wichtig bleibt, dass das zweite Backup im Schadensfall erst dann angeschlossen wird, wenn der Trojaner sicher nicht mehr aktiv ist.

Lesen Sie dazu auch:

(lbe)