广州和世鑫 Synology群晖企业方案
近期出现群晖、威联通等NAS网络存储服务器的数据遭到勒索病毒攻击。被攻击的文件会被加密并且无法打开,加密之后向受害者索要数万元甚至数十万元人民币作为解密文件的赎金。
根据安全团队对于中招的NAS主机进行日志分析后发现,该勒索文件名的后缀为encrypt,中勒索病毒的设备上存在大量桌面口令和SSH口令被爆破的记录,并且在文件被加密前有通过桌面登录成功的记录。群晖表示,经过调查,这是采用字典攻击获取密码,而非利用特定系统安全性漏洞。所以密码强度以及安全防护措施尤为重要。
简单来说,群晖等NAS主机,默认是会开启外部管理功能的(比如远程桌面、远程SSH命令行等),这样可以方便用户的日常使用,当然了,用户还需要在家里路由器上面进行相关的端口映射,才能从公网上面访问到NAS主机。
黑客是如何进行攻击群晖Synology NAS 网络存储服务器的
1、获取攻击目标:黑客自然不可能事先知道目标NAS主机的公网IP地址,但是他可以通过批量扫描端口的方式来获取目标,国内宽带运营商的公网IP地址段,网上是随意查得到的(详细到城市),所以,人家随意选取一段IP地址范围,通过端口检测工具就可以从中找出开通了外网功能的NAS主机,以群晖为例,把目标端口设定为5000、5001(群晖NAS的远程桌面端口),开始检测,等待结果。
用浏览器随便打开一个结果看看,果然,就是群晖NAS的远程桌面,当然了,没有密码是进不去的。
2、实施弱口令探测:那黑客接下来怎么样获得目标NAS的管理员密码呢,其实,是一个非常笨的办法-弱口令扫描,也是通过工具,把目标用户名设定为admin和root(6.0版本之前的默认用户名),密码自然是不知道的,于是,黑客就采用了密码字典的方式挨个尝试(当然了,不是手工,是软件全自动的),弱密码字典里面,包含了常见的各种弱密码,比如123456、888888、生日组合等,接下来,自然是等待了,虽然可能性非常低,但是总会有不小心的人使用一些弱密码的。
3、植入勒索病毒:如果有幸拿到了某台NAS的密码,后面自然就简单了,登录进去,植入勒索病毒、加密硬盘数据。
上面,就是黑客实施NAS主机入侵的过程,也是很常见的入侵手段,那么对于咱们普通用户,怎样防范这种攻击方式呢?
注意如下几点,就能轻松防范群晖Synology 中勒索病毒:
1、停用默认管理员账号:在控制面板>用户帐号新增一组帐号且具管理员权限的帐号,并停用系统预设的admin帐号,然后另外新建不同的账号密码设置为管理员权限。
2、杜绝弱密码:这个很容易理解,密码足够复杂的话,黑客是死活都进不来的,弄个10几位长度的密码,加上大小写、加上符号,能爆破的几率为0.0000000001%。
3、修改默认端口:黑客寻找目标的第一步,就是撒网捕鱼式的通过默认端口进行探测,我们只要把默认端口修改掉,就能杜绝对方的进一步攻击,怎么改?很简单,路由器端口映射那里,把外网的5000改成其他不常见的端口,比如51525,内网则还是指向5000,以后自己使用外网访问的时候,记得通过新端口进行访问,至于SSH功能,用不着就关掉。
4、开启登录失败封锁:在控制面板启用登录失败自动封锁,防止多次登录失败尝试。
5、及时更新最新系统以及补丁:假设是NAS系统的原因出现漏洞,那就非常危险了,所以,要养成及时更新系统的好习惯。
6、启用防火墙:在控制面板中启用防火墙,只为必要的服务开启外部网络端口。
7、安装安全工具:群晖NAS也提供"安全顾问"工具,并且采用安全性扫描解决方案Qualysguard Security Scan,在每次的DSM重大更新对系统进行完整扫描并采取相关修复措施,为你的NAS加上重重保护屏障。
8、文件版本回滚:针对勒索病毒,可以通过对文件的实时备份、快照来避免因中招而丢失重要文件。Cloud Station Backup、Hyper Backup都支持多版本备份,有了多版本,你就可以轻松将文件还原至受感染前的状态。
9、文件权限控制:如果你的文件经常会需要分享给NAS帐号以外的人员,建议在通过Drive分享文件时,设置访问密码、有效期等。并且做好文件的权限控制设置。