Synology警告惡意軟體透過暴力攻擊用勒索軟體感染NAS裝置

臺灣NAS製造商Synology警告客戶稱，StealthWorker殭屍網路正在對他們的網路連線儲存裝置進行暴力攻擊，導致勒索軟體感染。

根據Synology安全團隊表示， NAS裝置在這些攻擊中被破壞，隨後被用於進一步試圖破壞更多的Linux系統。

Synology在一份安全建議中說:“這些攻擊利用一些已經受感染的裝置，試圖猜測常見的管理憑證，如果成功將訪問系統安裝惡意負載，其中可能包括勒索軟體。”

受感染的裝置可能會對其他基於Linux的裝置進行額外的攻擊，包括Synology NAS。

該公司正在與全球多個CERT組織合作，透過關閉所有檢測到的命令和控制(C2)伺服器來關閉殭屍網路的基礎設施。

目前，Synology正在努力通知所有潛在受影響的客戶，這些攻擊正在針對他們的NAS裝置。

如何防禦這些攻擊

NAS 製造商敦促所有系統管理員和客戶更改其系統上的弱管理憑據，啟用帳戶保護和自動阻止，並在可能的情況下設定多因素身份驗證。此外，加強企業內部軟體安全是現有網路防護手段的重要補充!

該公司建議使用者透過以下清單來保護他們的NAS裝置免受攻擊：

• 使用一個複雜的強密碼，申請密碼強度規則給所有使用者。

• 在管理員組中建立一個新帳戶，並禁用系統預設的“admin”帳戶。

• 在控制皮膚中啟用“自動阻止”，以阻止登入失敗次數過多的IP地址。

• 執行安全顧問以確保系統中沒有弱密碼。

該公司補充道:為了確保Synology NAS的安全性，強烈建議在控制皮膚中啟用防火牆，只在必要時允許服務使用公共埠，並啟用兩步驗證以防止未經授權的登入嘗試。

針對Windows和Linux機器的暴力惡意軟體

雖然Synology沒有分享更多關於該活動中使用的惡意軟體的資訊，但分享的細節與Malwarebytes在2019年2月底發現的一個基於golang的暴力 攻擊一致，被命名為StealthWorker。

兩年前， StealthWorker被用來透過利用Magento、phpMyAdmin和cPanel漏洞來部署，旨在竊取支付和個人資訊的竊取器，從而入侵電子商務網站。

然而，正如Malwarebytes當時指出的，該惡意軟體還具有暴力破解功能，可以使用現場生成的密碼或之前洩露的證照列表登入到暴露在網際網路上的裝置。

從2019年3月開始，StealthWorker運營商改用僅使用暴力破解的方法來掃描網際網路，以查詢具有弱憑據或預設憑據的易受攻擊主機。

一旦部署在受感染的機器上，惡意軟體會在Windows和Linux上建立計劃任務以獲得永續性，並且正如Synology所警告的那樣，它還會部署第二階段惡意軟體有效載荷包括勒索軟體。

有客戶在1月份報告中表示，從2020年11月開始，他們的裝置感染了Dovecat比特幣加密劫持惡意軟體，該活動也針對QNAP NAS裝置。

惡意軟體不斷升級，網路犯罪分子的攻擊手法也花樣百出。頻繁出現的網路攻擊事件不但給企業造成巨大的經濟損失，同時也對社會運轉產生影響。網路空間極其脆弱，不存在絕對的安全，也沒有完美無缺的防護手段。

隨著不斷發現新漏洞以及駭客採用新的裝置攻擊方法，裝置和系統必須持續更新以適應安全性要求的變化。尤其減少軟體自身安全漏洞，是降低遭到網路攻擊風險的有效手段之一。資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致!因此，利用 靜態程式碼安全檢測及SCA等工具及時查詢軟體程式碼中的缺陷及漏洞，可以大大提高軟體自身安全性，從而有效避免遭到網路攻擊。

Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：

https://www.bleepingcomputer.com/news/security/synology-warns-of-malware-infecting-nas-devices-with-ransomware/