去年 9 月,資安業者Palo Alto Networks 就發現了新型 eCh0raix 變種,該勒索軟體活動的專案名稱為「rct_cryptor_universal」,表明該惡意軟體可以影響任何供應商。早些時候專案名為為"qnap_crypt_worker",因為它將使用不同的變體經常在不同的實例上感染 QNAP 和 Synology NAS 設備。
聯通QNAP與群暉Synology都不能倖免
如今 Palo Alto Networks 揭露新的勒索軟體 -- eCh0raix 的最新變種,能夠同時針對威聯通QNAP與群暉Synology的 NAS 發動攻擊。
eCh0raix是IT安全公司Anomali在7月10日率先揭露,其感染途徑是藉由暴力破解弱密碼,開採已知漏洞針對目標裝置發動精準攻擊,之後再以惡意程式對威聯通裝置上的特定副檔名的目標檔案以AES加密,再置換成.encrypt副檔名。之後便向受害者勒索贖金。
歹徒的勒索訊息要求受害者以Tor瀏覽器連到某個網站以了解更多贖回檔案的資訊。多數安全公司都建議受害者不要付贖金,因為通常付了錢也拿不回檔案。
Anomali公司研究人員指出,eCh0raix特別鎖定威聯通位於白俄羅斯、烏克蘭或俄羅斯等國以外的連網NAS系統,顯示駭客作業基地可能是在上述三國其中之一境內。最好的因應辦法是切斷系統對外網路連線,並遵照威聯通的指示以避免感染。
最近2到3年來陸續傳出數起事故,當中不少是針對臺灣廠商威聯通科技(QNAP)、群暉科技(Synology)的NAS設備而來,研究人員呼籲,用戶應更新韌體、採用複雜密碼,以及限制能存取NAS的管道,來防範相關攻擊。
相關參考來源:
資安業者Palo Alto Networks指出新版本 eCh0raix 變種最大的差異,就是能同時針對威聯通與群暉的NAS發動攻擊。Palo Alto根據自家情報指出約有25萬臺威聯通與群暉的NAS設備,曝露在網際網路上,而可能成為這一波的攻擊目標。
防範之道 -- 漏洞+暴力破解的入侵手法
對於本次新變種勒索軟體的攻擊手法,Palo Alto表示,攻擊者分別對於兩個廠牌的設備,利用了漏洞攻擊與暴力破解的方式入侵。
針對威聯通NAS的部分,eCh0raix主要是利用漏洞 CVE-2021-28799,該漏洞存在於災害復原模組Hybrid Backup Sync(HBS 3),當時也引發了另一款勒索軟體Qlocker大規模感染的攻擊事故。
至於 eCh0raix 入侵群暉的NAS裝置 則是靠嘗試常用的管理員密碼,來企圖存取該廠牌設備。
群暉 Synology NAS 處理方式
所以 群暉 NAS 設備,可以做以下動作來防止:
1. 停用 admin 帳號,改建立另一個自訂帳號(賦予admin權限),棄用 預設的 admin 帳號,沒有此帳號,eCh0raix 就算 Try 到密碼,也無所作為 2. 更新最新的韌體、軟體版本,尤其是管理者密碼,一定要採用更複雜的密碼(長度夠長、有大小寫英文+數字) 3. 若情況允許,可以允許特定IP位址的裝置才能連線,若無使用 SSH、Telnet等服務,請考慮關閉。
威聯通 QNAP NAS 處理方式
威聯通建議如下:
將QTS韌體升級到最新版
安裝並升級防毒軟體
管理員帳號使用強密碼
開啟Windows中的網路存取防護(Network Access Protection)防範暴力破解攻擊。
SSH 和Telnet服務未使用時最好關閉
避免使用預設連接埠443及8080。
威聯通也表示正在加緊開發從感染裝置移除惡意程式的解決方案以便儘快釋出。這件事再度突顯強密及定期升級韌體的重要性。
| 
發表於 2021-8-12 16:52:42