虽然针对NAS设备的勒索软件攻击已经屡见不鲜,但中国台湾厂商Synology却保持着较好的安全记录。不过近日Synology罕见地发出警告,一种名为StealthWorker的僵尸网络正在针对Synology的NAS设备发动持续的暴力攻击,可导致勒索软件感染。

据Synology的PSIRT(产品安全事件响应小组)称,在这些攻击中被入侵的Synology NAS设备后来又被用于进一步破坏更多Linux系统(包括NAS设备)。

从账户窃取到勒索NAS

Synology在安全公告中表示:“这些攻击利用许多已受感染的设备来尝试猜测常见的管理员凭据,如果成功,黑客将访问系统并安装恶意软件,其中可能包括勒索软件。”

“受感染的设备可能会对其他基于Linux的设备进行额外攻击,包括Synology NAS。”

目前Synology正在与全球多个CERT组织协调,通过关闭所有检测到的命令和控制(C2)服务器来关闭僵尸网络的基础设施,同时向可能受影响的客户通知攻击信息。

虽然Synology没有透露本轮攻击中使用的恶意软件的更多信息,但根据目前透露信息来看,与Malwarebytes在2019年2月底发现的的名为StealthWorker的基于Golang的暴力破解器一致。

两年前,StealthWorker被用来通过利用Magento、phpMyAdmin和cPanel漏洞攻击电子商务网站,窃取支付信息和个人信息。近年来随着勒索软件规模和利润的不断飙升,StealthWorker也盯上了存有大量个人数据的NAS设备。

正如Malwarebytes当时指出的那样,该恶意软件还具有暴力破解功能,使其能够使用现场生成的密码或从先前泄露的凭据列表中生成的密码登录到暴露在互联网上的设备(尤其是长时间联网并存有大量数据的NAS设备)。

缓解措施

NAS制造商敦促所有系统管理员和客户更改其系统上的弱管理凭据,启用账户保护和自动阻止,并在可能的情况下设置多因素身份验证。

Synology很少发布针对其客户的主动攻击的安全公告警告。2019年7月发布了关于成功大规模暴力攻击后勒索软件感染的最新警报。

Synology建议用户通过以下清单来保护NAS设备免受攻击:

  • 使用复杂而强大的密码,并将密码强度规则应用于所有用户;

  • 在管理员组中创建一个新账户并禁用系统默认的“admin”账户;

  • 在控制面板中启用自动阻止以阻止登录尝试失败次数过多的IP地址;

  • 运行安全顾问以确保系统中没有弱密码。

除上述措施外,Synology还强烈建议用户在控制面板中启用防火墙,并仅在必要时才打开公共端口提供服务,启用两步验证以防止未经授权的登录尝试。最后Synology还建议用户启用Snapshot进一步加强NAS设备对勒索软件攻击的防御能力。

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。