針對 NAS設備的勒索軟體攻擊
NAS設備廣泛應用於個人及企業,用於儲存大量資料並透過網路存取。將 NAS設備用作備份儲存空間也非常方便,而且在許多情況下,NAS設備都會連接到網際網路。正因如此,NAS設備常成為網路犯罪分子的攻擊目標。 某些勒索軟體版本是專門針對 NAS 設計的。
然而,只要網路中的電腦遭到感染且能存取 NAS,任何勒索軟體都可能將儲存於 NAS 上的檔案加密或損毀。這對許多使用者來說可能令人意外,因為他們通常認為 NAS 預設就是可靠且無懈可擊的。這篇部落格文章將說明如何保護 NAS 免受勒索軟體攻擊。這套安全措施除了包含針對 NAS 的特定措施外,也涵蓋了一般性的防勒索軟體措施。
變更 NAS 上的憑證
勒索軟體的開發者非常清楚各種 NAS設備的預設管理員使用者名稱和密碼。 管理員 或 管理員 是管理員帳戶中最常見的使用者名稱。若未變更裝置上的使用者名稱和密碼,攻擊者便能輕易取得 NAS 的存取權限。當管理員自行設定密碼時,攻擊者可利用自動化工具進行暴力破解,或透過字典攻擊來猜測密碼,從而取得 NAS 的完整存取權限。
在大多數情況下,您無法刪除 NAS設備上的內建管理員帳戶。 最佳做法是在 NAS 上建立新的使用者帳戶,並設定難以猜測的強密碼。接著為此帳戶授予所有管理權限(即預設管理員帳戶所具備的所有權限)。完成後,請停用 NAS 上的預設管理員帳戶。
您可以為直接存取 NAS 共享資料的使用者建立帳戶,或者將 NAS 加入 Active Directory 網域,並使用 Active Directory 使用者帳戶來共享及存取資料夾。
請務必為存取共用資料的用戶設定強密碼。強密碼至少包含 8 個字元,並需包含大寫字母、小寫字母、數字及特殊字元(例如 %、$ & #).
若使用者從受感染的電腦對 NAS 上的共用資料夾擁有寫入權限,NAS 上的資料便可能遭到勒索軟體加密。NAS 上可存取的資料同樣可能遭到勒索軟體加密。
避免此類情況的良好做法是使用獨立的使用者帳戶,也就是不要使用登入 Windows 的同一帳戶,且不要在 Windows 電腦上儲存密碼。 在此使用情境下,使用者每次登入 Windows 後,都必須輸入憑證才能存取共用資料夾。若使用者未輸入憑證開啟共用資料夾,攻擊者便較難存取並加密位於 NAS 上的共用資料夾。若密碼強度足夠,則能進一步提升勒索軟體防護能力,因為某些勒索軟體會利用包含常見密碼的小型字典來猜測密碼並取得存取權限。
另一項良好做法是針對不同類別的用戶設定不同的存取權限。為進一步提升安全性,僅需讀取權限的用戶不應擁有寫入權限。
設定防火牆
如果您的 NAS 必須從外部網路或網際網路存取,請正確設定閘道器的防火牆,僅允許來自可信 IP 位址的存取。如此一來,即可防止攻擊者透過網際網路掃描並偵測到您的 NAS設備。最佳做法是將 NAS設備設置在 NAT 防火牆之後。
允許網路外部使用者存取有兩種方法:端口轉發和虛擬私人網路 (VPN)。 若您使用端口轉發從外部網路存取 NAS,請為存取資料所使用的協定採用自訂(非標準)的端口號碼。例如,使用 TCP 8122 端口而非 22 端口。攻擊者通常會掃描標準端口以偵測開放端口,並發動暴力破解或字典攻擊來入侵帳戶並取得 NAS 存取權限。然而,掃描所有端口的掃描工具也可能被用來尋找開放端口。
請僅開啟必要的埠號,而非所有埠號,以允許存取您的 NAS。例如,若您使用 SMB 透過區域網路 (LAN) 傳輸檔案,並使用 SFTP 透過廣域網路 (WAN) 傳輸檔案,請停用其他未使用之服務與檔案協定。在區域網路中,建議選用最新版本的 SMB (CIFS) 協定,因其安全性較高。
您亦應停用遠端連線功能。在 Synology NAS,請停用"快速連線"特點,該特點旨在讓使用者無需設定端口轉發,即可從任何廣域網路 (WAN) IP 位址連線至 NAS。停用此特點可減少連線至 NAS 的途徑,從而降低 NAS 遭入侵及資料被勒索軟體加密的風險。
保護您的網路、電腦以及其他連接到網路的裝置。如果您僅將 NAS 用於在本地儲存備份,請停用外部網路對 NAS 的連線。如果您的 NAS 內建防火牆,您可以僅允許來自定期備份資料之伺服器 IP 位址的連線。
更新韌體
NAS設備配備專為 NAS 設計的韌體或特殊作業系統。勒索軟體可能利用軟體的安全漏洞來感染設備並加密檔案,而安裝在 NAS設備上的作業系統亦不例外。請定期更新 NAS韌體(作業系統)及應用程式,以安裝最新的安全修補程式,藉此修復已發現的 NAS 軟體漏洞。安裝安全更新可降低 NAS設備遭受勒索軟體攻擊的風險。在此情況下,啟用自動更新功能將有所助益。
註: 近期涉及 eCh0raix 勒索軟體的攻擊,利用暴力破解及軟體漏洞,鎖定尚未修補漏洞的 QNAP NAS設備。使用弱密碼及未修補軟體的用戶,皆遭到 eCh0raix 攻擊。近期針對 NAS設備的勒索軟體攻擊,還包括 AgeLocker 和 QSnatch。
設定安全性設定
許多 NAS設備都內建了有助於勒索軟體防護的安全設定。"自動封鎖"選項用於防止透過暴力破解攻擊取得 NAS 存取權限。請設定 NAS設備軟體,以封鎖被偵測到登入嘗試次數過多的 IP 位址。啟用登錄功能以偵測失敗的登入嘗試。設定帳戶保護功能後,當某個帳戶在 XX 分鐘內失敗登入 X 次後,系統將在適當的時間內封鎖該帳戶的登入權限。 防範未經授權的存取,可降低勒索軟體攻擊鎖定 NAS設備的機率。若您的 NAS設備直接連接到網際網路,請啟用 DDoS 防護。此功能可保護 NAS設備免受分散式阻斷服務攻擊的侵害,此類攻擊旨在中斷線上服務。
使用安全連線
存取 NAS 時,請務必使用加密連線。請啟用 SSL,讓連線採用 HTTPS 協定而非 HTTP 來存取 NAS 網頁介面。若需與外部使用者共享檔案,請使用 SFTP 或 FTPS 取代 FTP,因為傳統 FTP 不支援加密。當您使用未加密的網路協定時,第三方可能攔截透過網路傳輸的資料。若使用未受保護且未加密的連線,密碼將會以明文形式傳輸。 請使用 SSH 而非 Telnet 透過命令列介面管理您的 NAS。
保護整個環境
有效的勒索軟體防護需針對所有連接到網路的裝置採取一套完整的防護措施。即使只有一台未受保護的裝置,也可能成為勒索軟體的入侵入口。請更新所有裝置的韌體,並在所有電腦上安裝安全性修補程式。由於垃圾郵件和釣魚郵件是最常見的勒索軟體感染途徑,請透過反垃圾郵件過濾器設定email防護。此外,請設定監控機制,以便盡早偵測勒索軟體網路攻擊,並阻止檔案加密及勒索軟體的擴散。
備份資料
網路犯罪分子不斷尋找新的漏洞並改進攻擊手法,以攻擊使用者並加密其資料。勒索軟體攻擊手法日益精進。因此,您應定期備份資料。擁有備份資料,便能在遭遇勒索軟體攻擊或其他導致資料遺失的災難時,迅速恢復資料。NAS設備通常被用作備份目的地,但它們也可能成為勒索軟體的攻擊目標。基於這個原因,您應根據資料類型創建備份複製,以備不時之需。 3-2-1 備份法則. 請定期備份資料,並建立數份備份複製。若您的檔案遭到勒索軟體加密,請勿支付贖金,因為支付贖金只會鼓勵網路犯罪分子發動更多攻擊。
NAKIVO Backup & Replication 是一款通用資料保護解決方案,可安裝於 NAS 上,並能 將資料備份至 NAS 以及其他儲存方式,包括將資料備份複製至磁帶和雲。 NAKIVO Backup & Replication 支援 VMware vSphere 虛擬機器、Microsoft Hyper-V 虛擬機器、Amazon EC2 執行個體、Linux 電腦、Windows 電腦、Microsoft 365 以及 Oracle 資料庫的備份。您可以探索各項特點與功能性 NAKIVO Backup & Replication 只需下載免費版本即可。免費版本讓您能免費保護 10 個工作負載和 5 個 Microsoft 365 帳戶,為期一年!
閱讀其他關於勒索軟體的部落格文章,以進一步了解 從勒索軟體攻擊中恢復, 勒索軟體是如何傳播的,以及該如何移除它。
結論
隨著 NAS設備日益普及,針對 NAS設備的勒索軟體攻擊也隨之增加,這實在令人遺憾。為了保護 NAS設備免受勒索軟體攻擊,您應採取一套完整的防護措施。 設定強密碼、配置防火牆、設定權限、保護 NAS 及網路中其他電腦上的軟體,並定期安裝安全性修補程式。在組織的電子郵件伺服器上設定電子郵件過濾功能,以防止使用者收到垃圾郵件和釣魚郵件。但最重要的是,務必定期備份資料,以確保在遭遇勒索軟體攻擊後能夠恢復資料。