Synology警告惡意軟件通過暴力攻擊用勒索軟件感染NAS設備

臺灣NAS制造商Synology警告客戶稱，StealthWorker僵尸網(wǎng)絡正在對他們的網(wǎng)絡連接存儲設備進行暴力攻擊，導致勒索軟件感染。

根據(jù)Synology安全團隊表示，NAS設備在這些攻擊中被破壞，隨后被用于進一步試圖破壞更多的Linux系統(tǒng)。

Synology在一份安全建議中說:“這些攻擊利用一些已經(jīng)受感染的設備，試圖猜測常見的管理憑證，如果成功將訪問系統(tǒng)安裝惡意負載，其中可能包括勒索軟件?！?/span>

受感染的設備可能會對其他基于Linux的設備進行額外的攻擊，包括Synology NAS。

該公司正在與全球多個CERT組織合作，通過關閉所有檢測到的命令和控制(C2)服務器來關閉僵尸網(wǎng)絡的基礎設施。

目前，Synology正在努力通知所有潛在受影響的客戶，這些攻擊正在針對他們的NAS設備。

如何防御這些攻擊

NAS 制造商敦促所有系統(tǒng)管理員和客戶更改其系統(tǒng)上的弱管理憑據(jù)，啟用帳戶保護和自動阻止，并在可能的情況下設置多因素身份驗證。此外，加強企業(yè)內(nèi)部軟件安全是現(xiàn)有網(wǎng)絡防護手段的重要補充!

該公司建議用戶通過以下清單來保護他們的NAS設備免受攻擊：

使用一個復雜的強密碼，申請密碼強度規(guī)則給所有用戶。

在管理員組中創(chuàng)建一個新帳戶，并禁用系統(tǒng)默認的“admin”帳戶。

在控制面板中啟用“自動阻止”，以阻止登錄失敗次數(shù)過多的IP地址。

運行安全顧問以確保系統(tǒng)中沒有弱密碼。

該公司補充道:為了確保Synology NAS的安全性，強烈建議在控制面板中啟用防火墻，只在必要時允許服務使用公共端口，并啟用兩步驗證以防止未經(jīng)授權的登錄嘗試。

針對Windows和Linux機器的暴力惡意軟件

雖然Synology沒有分享更多關于該活動中使用的惡意軟件的信息，但分享的細節(jié)與Malwarebytes在2019年2月底發(fā)現(xiàn)的一個基于golang的暴力破解器一致，該破解器被命名為StealthWorker。

兩年前，StealthWorker被用來通過利用Magento、phpMyAdmin和cPanel漏洞來部署，旨在竊取支付和個人信息的竊取器，從而入侵電子商務網(wǎng)站。

然而，正如Malwarebytes當時指出的，該惡意軟件還具有暴力破解功能，可以使用現(xiàn)場生成的密碼或之前泄露的證書列表登錄到暴露在互聯(lián)網(wǎng)上的設備。

從2019年3月開始，StealthWorker運營商改用僅使用暴力破解的方法來掃描互聯(lián)網(wǎng)，以查找具有弱憑據(jù)或默認憑據(jù)的易受攻擊主機。

一旦部署在受感染的機器上，惡意軟件會在Windows和Linux上創(chuàng)建計劃任務以獲得持久性，并且正如Synology所警告的那樣，它還會部署第二階段惡意軟件有效載荷包括勒索軟件。

有客戶在1月份報告中表示，從2020年11月開始，他們的設備感染了Dovecat比特幣加密劫持惡意軟件，該活動也針對QNAP NAS設備。

惡意軟件不斷升級，網(wǎng)絡犯罪分子的攻擊手法也花樣百出。頻繁出現(xiàn)的網(wǎng)絡攻擊事件不但給企業(yè)造成巨大的經(jīng)濟損失，同時也對社會運轉(zhuǎn)產(chǎn)生影響。網(wǎng)絡空間極其脆弱，不存在絕對的安全，也沒有完美無缺的防護手段。

隨著不斷發(fā)現(xiàn)新漏洞以及黑客采用新的設備攻擊方法，設備和系統(tǒng)必須持續(xù)更新以適應安全性要求的變化。尤其減少軟件自身安全漏洞，是降低遭到網(wǎng)絡攻擊風險的有效手段之一。數(shù)據(jù)顯示，90%以上的網(wǎng)絡安全問題是由軟件自身的安全漏洞被利用導致!因此，利用靜態(tài)代碼安全檢測及SCA等工具及時查找軟件代碼中的缺陷及漏洞，可以大大提高軟件自身安全性，從而有效避免遭到網(wǎng)絡攻擊。

中科天齊Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

https://www.bleepingcomputer.com/news/security/synology-warns-of-malware-infecting-nas-devices-with-ransomware/