[XF 專題] 從 SynoLocker 到 Qlocker,你學懂保護你的NAS了嗎?

- 18座大王 - 2021-04-23

網絡上的攻擊活動一年比一年活躍,而當中的利用勒索軟件攻擊設備的個案愈來愈多,就如日前駭客入侵代工廠竊取 Apple 不少產品設設圖來要求巨額贖金。一但設備被入侵成功,駭客就會對你設備內的數據進行加密,從而威逼受害人繳交贖金,以換取解密金鑰恢復數據。在低付出、高回報的情況下,勒索軟件也成為一個新興的「產業」,令網絡上充斥著勒索軟件及惡意軟件攻擊。

2014 年針對 Synology NAS 的勒索軟件 (SynoLocker)

NAS 日漸普及,在廠商的努力下變得愈來愈容易使用,不少用家更是沒有 IT 知識背景,加上 NAS 出貨量大,又有很多用家沒有做好安全性設定,讓 NAS 也成為駭客的攻擊目標之一。其實早在 2014 年,就有針對 Synology NAS 的勒索軟件 (SynoLocker) 出現,當時受害者眾多,在網絡上引來不少回嚮。在 SynoLocker 出現後,還有 eCh0raix 、SunCrypt 等針對大廠 NAS (如 Synology、QNAP 等)的勒索軟件。近月,又傳出針對 QNAP NAS 的勒索軟件攻擊,分別是 eCh0raix 及 Qlocker 。而兩者中災情最嚴中的,可說是在 2021年4月21日開始發起攻擊的 Qlocker 勒索軟件。

2021 年針對 QNAP NAS 的勒索軟件 (Qlocker)

為何 NAS 會被入侵?「軟體漏洞」與「暴力破解」

大家有沒有想過,駭客是如何入侵 NAS 呢?其實最主流的入侵方式有兩種,分別是利用「軟體漏洞」及以「暴力破解」密碼。

世界上沒有完美的東西,軟體也是一樣,大如「Apple」、「Google」、「Microsoft」等科技巨頭,也不時被人發現「軟體漏洞」。如果大家有留意自己的手機及電腦,其實會發現經常有所謂「安全性更新」,而 NAS 其實都一樣,因不少用家會把 NAS 曝露到網絡上,因此「安全性更新」顯得格外重要。「安全性更新」通常是修正因設計失誤、不良的編程而產生的安全隱患。當中嚴重性最高的,可說是「命令注入弱點」(Command Injection),「命令注入弱點」可以讓遠端的攻擊者在無需登入的狀態下,執行任意指令,包括上傳病毒、勒索軟件、惡意軟件,再加以執行,甚至是接管整台 NAS!而前面所說的 「SynoLocker」及「Qlocker」都是利用「命令注入弱點」進行攻擊,這類攻擊通常不會留下任何痕跡,並可在短時間攻破 NAS,讓用家無法提前得知再加以防範。

對資訊安全較為重視的廠商,通常都會在官網上設有安全性諮詢頁面,如 SynologyQNAP,都會把已發現的安全隱患公怖,提醒用家更新。

而前面提到的「eCh0raix」,則是透過「暴力破解」密碼進行攻擊,而攻擊的手法也愈來愈高明!早年的同類病毒,通常是使用數個 IP Address 在短時間進行攻擊,但這類攻擊很容易被 NAS 封鎖,使入侵的效率十分低下。而最近針對 QNAP NAS 的「eCh0raix」,已改用「殭屍網絡」(Botnet) 進行攻擊,攻擊者掌握了大量及來自世界各地被入侵的機器,當中可以包含 NAS、Router、IP CAM、物聯網裝置及伺服器等會連網的機器,再配合不同的攻擊間隔,使 NAS 的封鎖機制失效。也因 IP Address 是來自世界各地,因此基於 Geo-IP ,則以 IP Address 位置限制存取的防火牆也未能有效阻擋,隨著時間過去,使用「弱密碼」的 NAS 就會被攻破,並使用相關密碼登入及安裝勒索軟件或惡意軟件。

在 NAS 的存取記錄內,可以發現攻擊者用不同的 IP Address 嘗試登入 admin 帳戶

Synology NAS 攻擊 QNAP NAS !?

據網上消息,有人懷疑這波針對 QNAP 攻擊的「eCh0raix」是利用已被入侵的 Synology NAS 進行攻擊,為考證真偽,大王把上圖的 IP Address 整理出來,再嘗試以 Synology 的預設連接埠進行連線,結果讓人驚訝!

從以上測試,在 QNAP QuLog Center 第一頁得出的 IP Address,當中只有「103.251.200.114」及「115.78.129.123」無法連到 Synology NAS,而其他大部分的 IP Address,都可以到達 Synology NAS 的登入畫面,以這個比例來看,單純是巧合的機會甚微。以下是大王撈到的其中一部分 IP Address,有需要的用家可以自行封鎖。(如你是 IP Address 的主人,請聯絡 Synology 以檢查你的 NAS)

223.100.60.77 78.139.32.74 123.132.239.86 42.200.139.103 180.175.30.65
89.79.208.252 118.219.54.63 61.79.109.53 94.230.157.180 147.46.183.217
219.89.117.237 63.248.147.60 80.115.86.125 67.148.101.82 91.241.176.61
88.12.4.49 180.165.241.232 87.78.131.226 103.250.52.162 217.128.92.131
222.178.220.178 59.149.124.94 60.120.171.27 180.175.30.68 124.128.80.75
103.251.200.114 222.117.12.192 119.201.221.231 190.120.10.219 58.56.89.28
115.78.129.123 114.95.176.228 112.186.218.47 213.81.132.249 126.237.227.180
109.108.86.119 45.179.181.31 185.163.193.147 58.215.0.254 182.58.137.155
92.52.198.109 73.124.100.138 220.134.168.169 73.118.210.135 71.251.26.120
125.68.185.28 85.216.251.22 82.64.129.57 84.105.250.83 211.243.152.107
66.214.69.189 183.230.146.203 210.6.202.30 114.162.164.160 60.137.160.218
83.48.53.79 5.154.79.179 185.27.62.215 82.79.140.115 109.70.100.60
175.136.231.230 42.200.198.144 222.114.26.126 68.147.76.50 185.220.101.215
113.60.245.99 24.23.162.166 180.15.102.34 211.252.167.142 65.184.88.120
221.206.228.142 78.134.82.52 37.24.5.223 122.116.124.132 82.73.23.134
2.136.126.17 171.217.92.105 115.79.44.44 202.98.38.188 59.36.17.7
115.21.78.155 83.174.209.26 92.154.124.31 219.147.26.110 138.19.182.156
95.165.146.14 180.177.105.108 118.223.160.90 140.116.40.42 89.157.108.102
86.101.88.7 61.177.54.242 50.252.9.153 62.6.217.114 14.199.224.97
118.163.217.9 59.126.80.10 222.103.57.243 68.169.171.97 78.83.141.109
121.135.186.73 85.54.137.249 95.67.55.192 73.216.242.134 73.164.18.217
121.148.68.176 58.23.150.26 222.245.76.146 115.66.70.188 209.248.98.150
62.38.250.213 180.165.241.72 60.190.70.110 122.226.241.82 123.222.181.185
39.164.73.120 94.242.213.59 115.165.218.4 91.236.40.54 212.187.60.177
89.145.206.105 81.225.40.138 78.246.152.178 140.135.104.120 125.63.87.6
90.145.122.30 2.136.203.35 87.26.32.163 217.92.121.230 211.222.69.167
203.186.122.78 183.88.216.175 77.68.168.133 123.201.108.145 218.255.186.62
212.237.99.89 14.136.79.216

如何防止 NAS 被攻擊?

世界上並沒有一個系統是堅不可摧的,為避免重要資料損毀、外洩,而造成巨額金錢損失,因此我們需要正視資訊安全,做好應做的措施,減低駭客入侵的機會,防患於未然。不論你是使用哪個品牌的 NAS,只要是有連上網絡,就有可能被駭客攻擊,甚至被攻破。為保護自己的數據,妥善的設定是必要的!其實大王在上年已經寫過相關教學,如果你擁有一台 NAS 的話,請記得調整相關設定,以及把系統及套件維持在最新版本,以取得「安全性更新」,確保已知的軟體漏洞已被修補。當然,要保護你重要的數據,最重要的還是備份,只有備份才能在不幸事件發生後讓你不會有損失,相關教學會在日後提供。

以下是幾個常用防禦方法,以及針對「軟體漏洞」及「暴力破解」的有效程度,供大家參考:

防禦方法 「軟體漏洞」 「暴力破解」
停用 admin 帳號 無效 有效
使用強密碼 無效 有效
使用兩步認證 無效 有效
避免使用預設連接埠 減低被駭客發現及攻擊的機會 減低被駭客發現及攻擊的機會
更新系統及套件 有效 無效
啟用防火牆 減低被駭客發現及攻擊的機會 減低被駭客發現及攻擊的機會
停用不必要的服務 減低被駭客發現及攻擊的機會 無效

P.S. 即使你已經不是使用預設連接埠,但仍然有很多不知名 IP Address 嘗試登入,即代表你的 NAS 已成為駭客目標,請再次修改連接埠!

NAS 安全設定教學

如果想更安全,可以只對外開放 VPN 服務,要存取 NAS 必先連上 VPN,這樣可以更妥善保護儲存著重要資料的 NAS!有關用 NAS 架設 VPN 教學,可參考:

QNAP NAS 中了 Qlocker / eCh0raix 勒索病毒應如何處理?

若果發現 QNAP NAS 中的檔案被加密成 .7z,即代表中了Qlocker 勒索病毒,請緊記保持開機狀態,不要將設備關機,立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描,然後立即聯繫 QNAP 技術支援服務取得協助。Qlocker 勒索病毒對你的檔案進行加密時,會有一串加密金鑰,當你的設備還未關機及整個加密任務還未完成時,這串金鑰是有方法提取,因此支援人員還有機會可以找出來,並停止加密任務繼續進行,並提供金鑰供你解密。

QNAP 回應 Qlocker 勒索病毒攻擊事件:傳送門

在加密事件發生不久,已有 QNAP 的工程師於 FB 社群發放代碼協助用戶作第一時間急救

若果發現 QNAP NAS 中的檔案被加密成 .encrypt,即代表中了 eCh0raix 勒索病毒,這個病毒是沒有方法提取出金鑰。因此如果很不幸地感染了 Qlocker 又無法取出金鑰,又或是感染了 eCh0raix,而你又有備份的話,大王建議把整台 NAS 重新初始化,在更新系統及所有套件後,利用備份檔還原數據。不如果是更不幸地沒有備份,就只能考慮以下的選項:

  1. 保存已被加密的檔案,等待駭客或資安機構免費釋出解密工具
  2. 檢查是否所有檔案都被加密,備份出未被加密的檔案
  3. 考慮放棄所有被加密的檔案
  4. 使用暴力破解軟件破解 .7z 密碼,但密碼長達 32 位,破解需時(限 Qlocker)
  5. 支付 0.01 BTC 給駭客,以取得金鑰自行解密(不一定可成功取得金鑰)

相關文章