觀點

專門攻擊 NAS 裝置的四種威脅

2022 / 02 / 09
編輯部
專門攻擊 NAS 裝置的四種威脅
隨著使用者和企業越來越依賴物聯網裝置來隨時保持連網、存取資訊和資料,並維持工作流程的運作,其相關的威脅也不斷演進。使用者和企業現在都使用網路儲存 (NAS) 裝置來儲存和備份檔案,以確保使用者在工作過程當中都能持續保持連線。最近,由於 NAS 裝置儲存了大量的珍貴資料,但這類裝置的資安功能並非強制性,因此有越來越多網路犯罪集團開始將目光轉向 NAS 裝置。 

由於網路犯罪集團已經注意到這股趨勢,因此會不斷翻新他們的工具和技巧,將網路儲存 (NAS) 裝置列入他們攻擊清單。他們知道現在的家庭和辦公室環境很多都使用這類裝置來儲存和備份檔案。更重要的是,網路犯罪集團深知這些裝置不僅保存了許多珍貴資訊,而且只有一些基本的資安功能。
 
以下列出幾個近期已知攻擊案例當中針對消費性與企業級 NAS 裝置的威脅:
  1. 勒索病毒:如惡名昭彰的 REvil 和 Qlocker 家族。
    不論是傳統或現代化勒索病毒都會感染 NAS 裝置。近幾個月來最知名的勒索病毒是:Qlocker、REvil、eCh0raix 和 DarkSide。每個勒索病毒家族 (更別說每個不同變種) 都在努力尋找 NAS 上的 Linux 作業系統潛在的漏洞或組態設定錯誤以便入侵裝置,這表示 NAS 裝置已成為勒索病毒集團增加收入的來源之一。 
     
  2. 殭屍網路:尤其是 StealthWorker。
    專門感染和攻擊 IoT 裝置的殭屍網路從 2016 年開始變得相當猖獗,主要是因為殭屍網路會盡可能感染更多的宿主好讓犯罪集團從事各種不法活動,例如發動分散式阻斷服務 (DDoS)攻擊。由於 NAS 裝置天生的安全功能相當有限,因此可說是駭客最理想的攻擊目標,而駭客一旦成功駭入一台裝置,就能再駭入更多其他同款的裝置。此外,即使這類 IoT 裝置感染的是老舊惡意程式且已感染多年,它們依然可能不會被發現,因為這類裝置幾乎從不修補。而這也增加了 NAS 使用者的資安風險,因為除了 DDoS 攻擊之外,駭客還會從事許多其他不法活動,例如:竊取資訊以及建立代理器網路 (proxy network)。
     
  3. 虛擬加密貨幣挖礦:特別是 UnityMiner 和 Dovecat。
    假使 NAS 裝置的軟體含有漏洞卻從未更新,同樣也會遭到虛擬貨幣挖礦( coinmining )攻擊。虛擬加密貨幣挖礦程式可利用暴力登入方式破解 SSH 登入密碼,就能順利進入系統,而被感染的裝置,其效能和壽命將大受影響。雖然有些人會覺得感染挖礦程式 (如 UnityMiner 和 Dovecat) 只不過是有點麻煩而已,但其實感染挖礦程式意味著更大的資安問題,而且 NAS 還可能被用來從事更多惡意活動。 
     
  4. 目標式攻擊 :例如 QSnatch。
    由於 NAS 是一種備份儲存裝置,因此儲存了許多珍貴的資訊,所以也可能成為「進階持續性滲透攻擊」(APT攻擊) 目標,例如專門攻擊 QNAP NAS 裝置的 QSnatch (亦稱為 Derek) 即是一例。雖然 Qsnatch 攻擊行動最早出現是在 2014 年,且近期的報告指出它到了 2018 和 2020 年才又更新,但目前全球已有超過 6 萬台 NAS 裝置已感染此惡意程式。QSnatch 是一個相當精密的惡意程式,具備常駐系統與躲避偵測的能力,而且可被當成一種網路間諜攻擊武器。
NAS 裝置目前已成為企業確保營運不受中斷以及現代化家庭順暢運作的重要儲存與備份工具。正因如此,網路犯罪集團會不斷研究各種針對 NAS 裝置的可能攻擊與利用方式,例如當成一種入侵的跳板,以便發動更具破壞性的攻擊。隨著使用者更加仰賴這類連網裝置,資安團隊與研究人員必須密切監控這類威脅與攻擊的發展,並強化這類系統的資安防護。 

如何保護你的 NAS 裝置?

當 NAS 裝置本身缺乏適當的資安防護時,使用者和企業有可能一再成為駭客攻擊的目標,因為這類裝置很容易成為駭客入侵的破口,進而衍生企業資訊遭竊、感染惡意程式、企業營運癱瘓等問題。以下提供幾點防範 NAS 裝置成為的資安破口最佳實務原則:
  • 避免將 NAS 裝置直接連上網際網路。
  • 定期變更 NAS 裝置的登入憑證。切勿使用裝置出廠預設的登入憑證,因為駭客也知道這些登入憑證。
  • 啟用雙重驗證/兩步驟驗證 (2FA) 來增加一道安全性。
  • 將所有沒用到的服務全部卸除,例如沒用到的軟體和應用程式。
  • 定期查看 NAS 製造商網站上發布的安全指南,例如 Synology 建議的最佳實務原則以及 QNAP 最近有關如何防止裝置暴露在網際網路上的建議。 
本文轉載自趨勢科技部落格。