網絡上的攻擊活動一年比一年活躍,而當中的利用勒索軟件攻擊設備的個案愈來愈多,就如日前駭客入侵代工廠竊取 Apple 不少產品設設圖來要求巨額贖金。一但設備被入侵成功,駭客就會對你設備內的數據進行加密,從而威逼受害人繳交贖金,以換取解密金鑰恢復數據。在低付出、高回報的情況下,勒索軟件也成為一個新興的「產業」,令網絡上充斥著勒索軟件及惡意軟件攻擊。
NAS 日漸普及,在廠商的努力下變得愈來愈容易使用,不少用家更是沒有 IT 知識背景,加上 NAS 出貨量大,又有很多用家沒有做好安全性設定,讓 NAS 也成為駭客的攻擊目標之一。其實早在 2014 年,就有針對 Synology NAS 的勒索軟件 (SynoLocker) 出現,當時受害者眾多,在網絡上引來不少回嚮。在 SynoLocker 出現後,還有 eCh0raix 、SunCrypt 等針對大廠 NAS (如 Synology、QNAP 等)的勒索軟件。近月,又傳出針對 QNAP NAS 的勒索軟件攻擊,分別是 eCh0raix 及 Qlocker 。而兩者中災情最嚴中的,可說是在 2021年4月21日開始發起攻擊的 Qlocker 勒索軟件。
為何 NAS 會被入侵?「軟體漏洞」與「暴力破解」
大家有沒有想過,駭客是如何入侵 NAS 呢?其實最主流的入侵方式有兩種,分別是利用「軟體漏洞」及以「暴力破解」密碼。
世界上沒有完美的東西,軟體也是一樣,大如「Apple」、「Google」、「Microsoft」等科技巨頭,也不時被人發現「軟體漏洞」。如果大家有留意自己的手機及電腦,其實會發現經常有所謂「安全性更新」,而 NAS 其實都一樣,因不少用家會把 NAS 曝露到網絡上,因此「安全性更新」顯得格外重要。「安全性更新」通常是修正因設計失誤、不良的編程而產生的安全隱患。當中嚴重性最高的,可說是「命令注入弱點」(Command Injection),「命令注入弱點」可以讓遠端的攻擊者在無需登入的狀態下,執行任意指令,包括上傳病毒、勒索軟件、惡意軟件,再加以執行,甚至是接管整台 NAS!而前面所說的 「SynoLocker」及「Qlocker」都是利用「命令注入弱點」進行攻擊,這類攻擊通常不會留下任何痕跡,並可在短時間攻破 NAS,讓用家無法提前得知再加以防範。
對資訊安全較為重視的廠商,通常都會在官網上設有安全性諮詢頁面,如 Synology 及 QNAP,都會把已發現的安全隱患公怖,提醒用家更新。
- Synology 針對「命令注入弱點」發怖的資訊
- QNAP 針對「命令注入弱點」發怖的資訊
而前面提到的「eCh0raix」,則是透過「暴力破解」密碼進行攻擊,而攻擊的手法也愈來愈高明!早年的同類病毒,通常是使用數個 IP Address 在短時間進行攻擊,但這類攻擊很容易被 NAS 封鎖,使入侵的效率十分低下。而最近針對 QNAP NAS 的「eCh0raix」,已改用「殭屍網絡」(Botnet) 進行攻擊,攻擊者掌握了大量及來自世界各地被入侵的機器,當中可以包含 NAS、Router、IP CAM、物聯網裝置及伺服器等會連網的機器,再配合不同的攻擊間隔,使 NAS 的封鎖機制失效。也因 IP Address 是來自世界各地,因此基於 Geo-IP ,則以 IP Address 位置限制存取的防火牆也未能有效阻擋,隨著時間過去,使用「弱密碼」的 NAS 就會被攻破,並使用相關密碼登入及安裝勒索軟件或惡意軟件。
Synology NAS 攻擊 QNAP NAS !?
據網上消息,有人懷疑這波針對 QNAP 攻擊的「eCh0raix」是利用已被入侵的 Synology NAS 進行攻擊,為考證真偽,大王把上圖的 IP Address 整理出來,再嘗試以 Synology 的預設連接埠進行連線,結果讓人驚訝!
- 把攻擊者的 IP Address 加上 :5000 (HTTP) 或 :5001 (HTTPS),大多可以連到 Synology NAS 的登入畫面
- 把攻擊者的 IP Address 加上 :5000 (HTTP) 或 :5001 (HTTPS),大多可以連到 Synology NAS 的登入畫面
從以上測試,在 QNAP QuLog Center 第一頁得出的 IP Address,當中只有「103.251.200.114」及「115.78.129.123」無法連到 Synology NAS,而其他大部分的 IP Address,都可以到達 Synology NAS 的登入畫面,以這個比例來看,單純是巧合的機會甚微。以下是大王撈到的其中一部分 IP Address,有需要的用家可以自行封鎖。(如你是 IP Address 的主人,請聯絡 Synology 以檢查你的 NAS)
223.100.60.77 | 78.139.32.74 | 123.132.239.86 | 42.200.139.103 | 180.175.30.65 |
89.79.208.252 | 118.219.54.63 | 61.79.109.53 | 94.230.157.180 | 147.46.183.217 |
219.89.117.237 | 63.248.147.60 | 80.115.86.125 | 67.148.101.82 | 91.241.176.61 |
88.12.4.49 | 180.165.241.232 | 87.78.131.226 | 103.250.52.162 | 217.128.92.131 |
222.178.220.178 | 59.149.124.94 | 60.120.171.27 | 180.175.30.68 | 124.128.80.75 |
103.251.200.114 | 222.117.12.192 | 119.201.221.231 | 190.120.10.219 | 58.56.89.28 |
115.78.129.123 | 114.95.176.228 | 112.186.218.47 | 213.81.132.249 | 126.237.227.180 |
109.108.86.119 | 45.179.181.31 | 185.163.193.147 | 58.215.0.254 | 182.58.137.155 |
92.52.198.109 | 73.124.100.138 | 220.134.168.169 | 73.118.210.135 | 71.251.26.120 |
125.68.185.28 | 85.216.251.22 | 82.64.129.57 | 84.105.250.83 | 211.243.152.107 |
66.214.69.189 | 183.230.146.203 | 210.6.202.30 | 114.162.164.160 | 60.137.160.218 |
83.48.53.79 | 5.154.79.179 | 185.27.62.215 | 82.79.140.115 | 109.70.100.60 |
175.136.231.230 | 42.200.198.144 | 222.114.26.126 | 68.147.76.50 | 185.220.101.215 |
113.60.245.99 | 24.23.162.166 | 180.15.102.34 | 211.252.167.142 | 65.184.88.120 |
221.206.228.142 | 78.134.82.52 | 37.24.5.223 | 122.116.124.132 | 82.73.23.134 |
2.136.126.17 | 171.217.92.105 | 115.79.44.44 | 202.98.38.188 | 59.36.17.7 |
115.21.78.155 | 83.174.209.26 | 92.154.124.31 | 219.147.26.110 | 138.19.182.156 |
95.165.146.14 | 180.177.105.108 | 118.223.160.90 | 140.116.40.42 | 89.157.108.102 |
86.101.88.7 | 61.177.54.242 | 50.252.9.153 | 62.6.217.114 | 14.199.224.97 |
118.163.217.9 | 59.126.80.10 | 222.103.57.243 | 68.169.171.97 | 78.83.141.109 |
121.135.186.73 | 85.54.137.249 | 95.67.55.192 | 73.216.242.134 | 73.164.18.217 |
121.148.68.176 | 58.23.150.26 | 222.245.76.146 | 115.66.70.188 | 209.248.98.150 |
62.38.250.213 | 180.165.241.72 | 60.190.70.110 | 122.226.241.82 | 123.222.181.185 |
39.164.73.120 | 94.242.213.59 | 115.165.218.4 | 91.236.40.54 | 212.187.60.177 |
89.145.206.105 | 81.225.40.138 | 78.246.152.178 | 140.135.104.120 | 125.63.87.6 |
90.145.122.30 | 2.136.203.35 | 87.26.32.163 | 217.92.121.230 | 211.222.69.167 |
203.186.122.78 | 183.88.216.175 | 77.68.168.133 | 123.201.108.145 | 218.255.186.62 |
212.237.99.89 | 14.136.79.216 |
如何防止 NAS 被攻擊?
世界上並沒有一個系統是堅不可摧的,為避免重要資料損毀、外洩,而造成巨額金錢損失,因此我們需要正視資訊安全,做好應做的措施,減低駭客入侵的機會,防患於未然。不論你是使用哪個品牌的 NAS,只要是有連上網絡,就有可能被駭客攻擊,甚至被攻破。為保護自己的數據,妥善的設定是必要的!其實大王在上年已經寫過相關教學,如果你擁有一台 NAS 的話,請記得調整相關設定,以及把系統及套件維持在最新版本,以取得「安全性更新」,確保已知的軟體漏洞已被修補。當然,要保護你重要的數據,最重要的還是備份,只有備份才能在不幸事件發生後讓你不會有損失,相關教學會在日後提供。
以下是幾個常用防禦方法,以及針對「軟體漏洞」及「暴力破解」的有效程度,供大家參考:
防禦方法 | 「軟體漏洞」 | 「暴力破解」 |
停用 admin 帳號 | 無效 | 有效 |
使用強密碼 | 無效 | 有效 |
使用兩步認證 | 無效 | 有效 |
避免使用預設連接埠 | 減低被駭客發現及攻擊的機會 | 減低被駭客發現及攻擊的機會 |
更新系統及套件 | 有效 | 無效 |
啟用防火牆 | 減低被駭客發現及攻擊的機會 | 減低被駭客發現及攻擊的機會 |
停用不必要的服務 | 減低被駭客發現及攻擊的機會 | 無效 |
P.S. 即使你已經不是使用預設連接埠,但仍然有很多不知名 IP Address 嘗試登入,即代表你的 NAS 已成為駭客目標,請再次修改連接埠!
NAS 安全設定教學
如果想更安全,可以只對外開放 VPN 服務,要存取 NAS 必先連上 VPN,這樣可以更妥善保護儲存著重要資料的 NAS!有關用 NAS 架設 VPN 教學,可參考:
QNAP NAS 中了 Qlocker / eCh0raix 勒索病毒應如何處理?
若果發現 QNAP NAS 中的檔案被加密成 .7z,即代表中了Qlocker 勒索病毒,請緊記保持開機狀態,不要將設備關機,立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描,然後立即聯繫 QNAP 技術支援服務取得協助。Qlocker 勒索病毒對你的檔案進行加密時,會有一串加密金鑰,當你的設備還未關機及整個加密任務還未完成時,這串金鑰是有方法提取,因此支援人員還有機會可以找出來,並停止加密任務繼續進行,並提供金鑰供你解密。
QNAP 回應 Qlocker 勒索病毒攻擊事件:傳送門
若果發現 QNAP NAS 中的檔案被加密成 .encrypt,即代表中了 eCh0raix 勒索病毒,這個病毒是沒有方法提取出金鑰。因此如果很不幸地感染了 Qlocker 又無法取出金鑰,又或是感染了 eCh0raix,而你又有備份的話,大王建議把整台 NAS 重新初始化,在更新系統及所有套件後,利用備份檔還原數據。不如果是更不幸地沒有備份,就只能考慮以下的選項:
- 保存已被加密的檔案,等待駭客或資安機構免費釋出解密工具
- 檢查是否所有檔案都被加密,備份出未被加密的檔案
- 考慮放棄所有被加密的檔案
- 使用暴力破解軟件破解 .7z 密碼,但密碼長達 32 位,破解需時(限 Qlocker)
- 支付 0.01 BTC 給駭客,以取得金鑰自行解密(不一定可成功取得金鑰)