專門攻擊 NAS 裝置的四種威脅,如何強化 NAS 安全性?

趨勢科技在最近一份研究當中分析了專門攻擊知名品牌網路儲存 (NAS) 裝置的威脅。分析了當今幾個既存及發展中的消費性與企業級 NAS 裝置的威脅。

隨著使用者和企業越來越依賴物聯網(IoT ,Internet of Thing)裝置來隨時保持連網、存取資訊和資料,並維持工作流程的運作,其相關的威脅也不斷演進。使用者和企業現在都使用網路儲存 (NAS) 裝置來儲存和備份檔案,以確保使用者在工作過程當中都能持續保持連線。最近,由於 NAS 裝置儲存了大量的珍貴資料,但這類裝置的資安功能並非強制性,因此有越來越多網路犯罪集團開始將目光轉向 NAS 裝置。 

由於網路犯罪集團已經注意到這股趨勢,因此會不斷翻新他們的工具和技巧,將網路儲存 (NAS) 裝置列入他們攻擊清單。他們知道現在的家庭和辦公室環境很多都使用這類裝置來儲存和備份檔案。更重要的是,網路犯罪集團深知這些裝置不僅保存了許多珍貴資訊,而且只有一些基本的資安功能。

趨勢科技的研究報告「保護您的備份:防範 NAS 裝置不斷演變的威脅」(Backing Your Backup: Defending NAS Devices Against Evolving Threats) 分析了今日一般使用者與中小企業使用的 NAS 裝置目前的現況與功能,並點出一些可能攻擊這類裝置的威脅及使用者可能受到的衝擊。 

為何 NAS 裝置會成為攻擊目標?

NAS 裝置之所以會成為駭客的攻擊目標,主要有兩個原因。
📌第一,這些裝置內建的資安功能並非強制性。
📌第二,這些裝置含有珍貴的資訊,因為它們同時具備了儲存和備份雙重用途。


專門攻擊 NAS 裝置的四種威脅


以下列出幾個近期已知攻擊案例當中針對消費性與企業級 NAS 裝置的威脅:

  • 🚩1.勒索病毒:如惡名昭彰的 REvil 和 Qlocker 家族。
    不論是傳統或現代化勒索病毒都會感染 NAS 裝置。近幾個月來最知名的勒索病毒是:QlockerREvileCh0raixDarkSide。每個勒索病毒家族 (更別說每個不同變種) 都在努力尋找 NAS 上的 Linux 作業系統潛在的漏洞或組態設定錯誤以便入侵裝置,這表示 NAS 裝置已成為勒索病毒集團增加收入的來源之一。 
  • 🚩2.殭屍網路:尤其是 StealthWorker。
    專門感染和攻擊 IoT 裝置的殭屍網路從 2016 年開始變得相當猖獗,主要是因為殭屍網路會盡可能感染更多的宿主好讓犯罪集團從事各種不法活動,例如發動分散式阻斷服務攻 (DDoS)攻擊。由於 NAS 裝置天生的安全功能相當有限,因此可說是駭客最理想的攻擊目標,而駭客一旦成功駭入一台裝置,就能再駭入更多其他同款的裝置。此外,即使這類 IoT 裝置感染的是老舊惡意程式且已感染多年,它們依然可能不會被發現,因為這類裝置幾乎從不修補。而這也增加了 NAS 使用者的資安風險,因為除了 DDoS 攻擊之外,駭客還會從事許多其他不法活動,例如:竊取資訊以及建立代理器網路 (proxy network)。針對這點,我們在研究報告中有更進一步的說明,我們使用 StealthWorker 當作範例。
  • 🚩3.虛擬加密貨幣挖礦:特別是 UnityMiner 和 Dovecat。
    假使 NAS 裝置的軟體含有漏洞卻從未更新,同樣也會遭到虛擬貨幣挖礦( coinmining )攻擊。虛擬加密貨幣挖礦程式可利用暴力登入方式破解 SSH 登入密碼,就能順利進入系統,而被感染的裝置,其效能和壽命將大受影響。雖然有些人會覺得感染挖礦程式 (如 UnityMinerDovecat) 只不過是有點麻煩而已,但其實感染挖礦程式意味著更大的資安問題,而且 NAS 還可能被用來從事更多惡意活動。 
  • 🚩4.目標式攻擊 :例如 QSnatch。
    由於 NAS 是一種備份儲存裝置,因此儲存了許多珍貴的資訊,所以也可能成為「進階持續性滲透攻擊」(Advanced Persistent ,簡稱 APT攻擊) 目標,例如專門攻擊 QNAP NAS 裝置的 QSnatch (亦稱為 Derek) 即是一例。雖然 Qsnatch 攻擊行動最早出現是在 2014 年,且近期的報告指出它到了 2018 和 2020 年才又更新,但目前全球已有超過 6 萬台 NAS 裝置已感染此惡意程式。QSnatch 是一個相當精密的惡意程式,具備常駐系統與躲避偵測的能力,而且可被當成一種網路間諜攻擊武器。 
Backing Your Backup: Defending NAS Devices Against Evolving Threats
下載:趨勢科技的研究報告「保護您的備份:防範 NAS 裝置不斷演變的威脅」(Backing Your Backup: Defending NAS Devices Against Evolving Threats)

NAS 裝置目前已成為企業確保營運不受中斷以及現代化家庭順暢運作的重要儲存與備份工具。正因如此,網路犯罪集團會不斷研究各種針對 NAS 裝置的可能攻擊與利用方式,例如當成一種入侵的跳板,以便發動更具破壞性的攻擊。隨著使用者更加仰賴這類連網裝置,資安團隊與研究人員必須密切監控這類威脅與攻擊的發展,並強化這類系統的資安防護。 

我們最新的研究報告「保護您的備份:防範 NAS 裝置不斷演變的威脅」(Backing Your Backup: Defending NAS Devices Against Evolving Threats) 分析了今日的基礎架構、環境與威脅,並提供一些建議教您如何防範今日專門攻擊 NAS 裝置的威脅。請參閱我們的報告「保護您的備份:防範 NAS 裝置不斷演變的威脅」(Backing Your Backup: Defending NAS Devices Against Evolving Threats)。

下載研究報告 下載常見問答集 (FAQ)

如何保護你的 NAS 裝置?


當 NAS 裝置本身缺乏適當的資安防護時,使用者和企業有可能一再成為駭客攻擊的目標,因為這類裝置很容易成為駭客入侵的破口,進而衍生企業資訊遭竊、感染惡意程式、企業營運癱瘓等問題。以下提供幾點防範 NAS 裝置成為的資安破口最佳實務原則:

  1. 避免將 NAS 裝置直接連上網際網路。
  2. 定期變更 NAS 裝置的登入憑證。切勿使用裝置出廠預設的登入憑證,因為駭客也知道這些登入憑證。
  3. 啟用雙重驗證/兩步驟驗證 (2FA) 來增加一道安全性。
  4. 將所有沒用到的服務全部卸除,例如沒用到的軟體和應用程式。
  5. 定期查看 NAS 製造商網站上發布的安全指南,例如 Synology 建議的最佳實務原則以及 QNAP 最近有關如何防止裝置暴露在網際網路上的建議

如需更多有關 NAS 裝置安全相關的技術資訊、威脅、分析與建議,請下載我們的研究報告「保護您的備份:防範 NAS 裝置不斷演變的威脅」(Backing Your Backup: Defending NAS Devices Against Evolving Threats)。

從技術層面分析兩個可能攻擊 NAS 裝置的惡意程式家族:REvil 勒索病毒和 StealthWorker 殭屍網路

為了突顯防範 NAS 裝置惡意程式和目標式攻擊的重要性,我們從技術層面分析了兩個可能攻擊 NAS 裝置的惡意程式家族:REvil 勒索病毒和 StealthWorker 殭屍網路。

REvil (亦稱為 Sodinokibi) 勒索病毒


雖然 REvil (亦稱為 Sodinokibi) 勒索病毒在 2021 年中期的突然消失令人匪夷所思,但研究已經發現了一個 Linux 版本的 REvil 勒索病毒,並稱之為「Revix」。我們在分析了該惡意程式的樣本之後發現它有四種不同版本,全都使用一個內嵌的 JavaScript Observed Notation (JSON) 格式組態設定檔來設定檔案加密的參數。

 

fig1-defending-users-NAS-devices-from-evolving-threats

圖 1:Revix 的 JSON 格式組態設定檔。

設定當中有某些參數似乎沒有作用,因此我們在下面整理出幾個我們認為最重要的參數:

  • pk: 長度 64 位元組的金鑰。
  • nbody: 勒索訊息 (內容使用 base64 編碼)。
  • nname: 勒索訊息的檔案名稱。
  • ext: 加密後的檔案副檔名。

駭客在入侵系統之後,會用手動方式在 NAS 裝置上執行這個勒索病毒來加密檔案並留下一個勒索訊息檔案以及一個隨受害者而異的金鑰。

fig2-defending-users-NAS-devices-from-evolving-threats
圖 2:Revix 將 QNAP NAS 裝置加密。


fig3-defending-users-NAS-devices-from-evolving-threats
圖 3:Revix 的勒索訊息畫面。


此勒索病毒不同版本之間的差異不大,而且該集團早在 2021 年 5 月就曾在地下論壇上宣傳他們提供了加密 NAS 裝置的能力。由於 NAS 裝置有時會直接連上網際網路,且裝置本身可能含有可攻擊的漏洞,因此我們預料未來應該會出現新一波針對這類裝置的勒索病毒攻擊。

StealthWorker


2021 年,資安研究人員發現有 Synology NAS 裝置遭到來自 StealthWorker 殭屍網路的暴力登入攻擊。我們也蒐集到此殭屍網路的多個樣本,並確定它最新的版本可透過暴力登入攻擊來入侵執行某些產品和系統 (如 WooCommerce 和 WordPress) 的伺服器。此殭屍網路也會經由  HTTP 認證機制來攻擊任何的網站伺服器及其他像 QNAP 的 NAS 裝置。他們一旦測試出可以登入的密碼,就會上傳到它的幕後操縱 (C&C) 伺服器 (一般來說位於連接埠 5028/TCP)。

fig4-defending-users-NAS-devices-from-evolving-threats
圖 4:StealthWorker 暴力登入 QNAP 裝置的程式碼。


fig5-defending-users-NAS-devices-from-evolving-threats
圖 5:已遭感染的 Linux 裝置連上 C&C 伺服器。


原文出處:
Reinforcing NAS Security Against Pivoting Threats
Defending Users’ NAS Devices From Evolving Threats 作者:Stephen Hilt 與 Fernando Merces