Synology PSIRT(产品安全事件响应小组)已经发布了一个警告它最近看到并收到了关于穷举式攻击针对Synology设备。PSIRT怀疑通常被称为StealthWorker的僵尸网络是造成这种活动增加的原因。

Synology

Synology专门研究数据存储,大多数人都知道它,因为它的网络连接存储(NAS)设备。这些NAS设备似乎就是僵尸网络的目标。该公司并不认为僵尸网络正在利用其软件中的漏洞,它只是简单地使用暴力破解法来获取弱密码或默认密码。

在强力猜测攻击中,软件试图通过一点有根据的猜测(通常是使用已知的常用密码列表)来找到设备的密码。它会尝试一个密码,看看它是否有效,如果不有效,就会尝试一个又一个,直到它猜对了一个密码,或者耗尽了它的列表,然后继续前进。

在这种情况下,如果密码被成功猜出,设备就会感染恶意软件,对其他设备进行额外的攻击。

StealthWorker

我们报道关于Trojan.StealthWorker.GO在2019年2月,它被发现是一个用戈朗语写的蛮力针对电子商务网站的攻击增加.Golang是一种静态类型、编译的通用编程语言,我们在当前的恶意软件环境中更经常看到它。在参与CMS平台后不久,StealthWorker开始瞄准Linux和Windows机器。

2020年6月,Akamai的研究人员发现了一个恶意软件运动传播基于golang的恶意代码,也被认为是StealthWorker的。它的目标是运行流行web服务的Windows和Linux服务器,以及WordPress、Drupal、Joomla和Magento等平台。当时发现的一个重要事实是,清理受损的系统是不够的。如果密码保持不变,几分钟内就会再次感染。这表明要么是一种非常有效的暴力破解技术,要么更有可能是一种存储和检索曾经猜对的密码的方法。

一旦部署在一台被攻击的机器上,恶意软件就会在Windows和Linux上创建计划任务,以获得持久性,并如Synology警告的那样,然后部署第二阶段的恶意软件负载。僵尸网络可以用来传播其他恶意软件cryptojackers和ransomware。或者你的设备可以用在分布式拒绝服务点击欺诈运动。在CMS平台上,僵尸网络可以在一个被攻破的电子商务网站上安装一个嵌入式扫描程序,当毫无戒心的客户进入该网站时,该程序可以窃取个人信息和支付细节。

缓解

synology表示,它正在与全球多个CERT组织合作,试图定位并摧毁僵尸网络指挥和控制服务器。

Synology建议所有用户检查系统中是否存在薄弱的管理凭证,并在必要时进行更改。Synology还建议启用自动阻止和帐户保护。最后,您应该设置多因素认证(MFA)在可能的情况下。

Synology还建议用户启用快照以保护他们的NAS免受基于加密的勒索软件的攻击。这将执行常规的异地备份。更多特定于Synology nas的安全建议可以在下面找到其网站

该公司的建议也适用于任何其他面向互联网的NAS设备。Synology只报告这些攻击是在它的设备上进行的,但这可能是因为他们有一个清楚的画面正在发生什么。这并不意味着僵尸网络忽略了其他设备。StealthWorker或其他僵尸网络没有理由拒绝其他制造商的设备。

保持安全,大家好!