Synology警告恶意软件通过暴力攻击用勒索软件感染NAS设备
台湾NAS制造商Synology警告客户称,StealthWorker僵尸网络正在对他们的网络连接存储设备进行暴力攻击,导致勒索软件感染。
根据Synology安全团队表示,NAS设备在这些攻击中被破坏,随后被用于进一步试图破坏更多的Linux系统。
Synology在一份安全建议中说:“这些攻击利用一些已经受感染的设备,试图猜测常见的管理凭证,如果成功将访问系统安装恶意负载,其中可能包括勒索软件。”
受感染的设备可能会对其他基于Linux的设备进行额外的攻击,包括Synology NAS。
该公司正在与全球多个CERT组织合作,通过关闭所有检测到的命令和控制(C2)服务器来关闭僵尸网络的基础设施。
目前,Synology正在努力通知所有潜在受影响的客户,这些攻击正在针对他们的NAS设备。
如何防御这些攻击
NAS 制造商敦促所有系统管理员和客户更改其系统上的弱管理凭据,启用帐户保护和自动阻止,并在可能的情况下设置多因素身份验证。此外,加强企业内部软件安全是现有网络防护手段的重要补充!
该公司建议用户通过以下清单来保护他们的NAS设备免受攻击:
使用一个复杂的强密码,申请密码强度规则给所有用户。
在管理员组中创建一个新帐户,并禁用系统默认的“admin”帐户。
在控制面板中启用“自动阻止”,以阻止登录失败次数过多的IP地址。
运行安全顾问以确保系统中没有弱密码。
该公司补充道:为了确保Synology NAS的安全性,强烈建议在控制面板中启用防火墙,只在必要时允许服务使用公共端口,并启用两步验证以防止未经授权的登录尝试。
针对Windows和Linux机器的暴力恶意软件
虽然Synology没有分享更多关于该活动中使用的恶意软件的信息,但分享的细节与Malwarebytes在2019年2月底发现的一个基于golang的暴力破解器一致,该破解器被命名为StealthWorker。
两年前,StealthWorker被用来通过利用Magento、phpMyAdmin和cPanel漏洞来部署,旨在窃取支付和个人信息的窃取器,从而入侵电子商务网站。
然而,正如Malwarebytes当时指出的,该恶意软件还具有暴力破解功能,可以使用现场生成的密码或之前泄露的证书列表登录到暴露在互联网上的设备。
从2019年3月开始,StealthWorker运营商改用仅使用暴力破解的方法来扫描互联网,以查找具有弱凭据或默认凭据的易受攻击主机。
一旦部署在受感染的机器上,恶意软件会在Windows和Linux上创建计划任务以获得持久性,并且正如Synology所警告的那样,它还会部署第二阶段恶意软件有效载荷包括勒索软件。
有客户在1月份报告中表示,从2020年11月开始,他们的设备感染了Dovecat比特币加密劫持恶意软件,该活动也针对QNAP NAS设备。
恶意软件不断升级,网络犯罪分子的攻击手法也花样百出。频繁出现的网络攻击事件不但给企业造成巨大的经济损失,同时也对社会运转产生影响。网络空间极其脆弱,不存在绝对的安全,也没有完美无缺的防护手段。
随着不断发现新漏洞以及黑客采用新的设备攻击方法,设备和系统必须持续更新以适应安全性要求的变化。尤其减少软件自身安全漏洞,是降低遭到网络攻击风险的有效手段之一。数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致!因此,利用静态代码安全检测及SCA等工具及时查找软件代码中的缺陷及漏洞,可以大大提高软件自身安全性,从而有效避免遭到网络攻击。
中科天齐Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
https://www.bleepingcomputer.com/news/security/synology-warns-of-malware-infecting-nas-devices-with-ransomware/