RSS Feed
更好更安全的互联网

Synology(群晖) NAS用户被黑,黑客要挟支付赎金

2014-08-07

nas_副本

目前攻击:

近日,多个Synology(群晖) NAS用户设备被入侵,黑客加密用户在NAS设备上的数据,并告诉用户支付赎金才能解密数据,赎金为0.6比特币(约合2166元),否则数据将永远无法取回。

产品介绍:

NAS(Network Attached Storage:网络附属存储)按字面简单说就是连接在网络上,具备资料存储功能的装置,因此也称为“网络存储器”。它是一种专用数据存储服务器。它以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而释放带宽、提高性能、降低总拥有成本、保护投资。其成本远远低于使用服务器存储,而效率却远远高于后者。

Synology是生产NAS设备的台湾公司,中文名群晖科技。群晖科技的产品销往世界各地,并定位于几种语言。群晖科技的总部位于台湾台北,子公司分布世界各地。

 

攻击介绍:

目前,黑客利用的何种漏洞攻击Synology(群晖) NAS设备还不清楚,安全人士猜测出现了针对Synology(群晖)系统的零日攻击(0day),而且去年爆出的两个漏洞CVE-2013-6955、CVE-2013-6987,都属于高危级别,也有被黑客利用的可能。

 

黑客入侵Synology(群晖) NAS设备,使用名为“Synolocker”的勒索软件加密用户数据,并修改Synology(群晖)后台首页,提示用户如何交纳赎金,解密自己的数据。

1

图 1,勒索页面

为了防止自己被追查,黑客还通过Tor(洋葱路由)匿名网络来处理付款和解密密钥交换过程。一位德国网友贴出了勒索软件提示的完整解密步骤(翻译):

 

SynoLocker™

自动解密服务

在这个NAS上的所有重要文件已经使用强大的加密算法加密。

这里提供加密的文件列表。

如果需要恢复的文件,遵循这些简单的步骤:

  1. 下载并安装Tor浏览器。
  2. 打开Tor浏览器,并访问http://cypherxffttr7hho.onion。此链接仅适用于Tor浏览器。
  3. 使用您的识别码登录,以获取有关如何获得解密密钥的进一步说明。
  4. 您的识别码是xxx。
  5. 一旦一个有效的解密密钥已经被购买了,按照解密页面上的说明(解密)。

关于加密过程的技术细节:

  1. 独特的RSA-2048密钥对在远程服务器上生成并链接到此系统中。
  2. RSA-2048的公钥发送到此系统,而私钥留在远程服务器上的数据库中。
  3. 当新的文件需要加密时一个随机的256位密钥在此系统上生成。
  4. 该256位的密钥,配合AES-256 CBC对称加密(算法)对文件进行加密。
  5. 该256位的密钥配合RSA-2048公共密钥进行加密。
  6. 所得到的加密的256位密钥被存储在加密文件中,同时从系统内存中清除。
  7. 原来未加密的文件将在从硬盘驱动器中删除之前用随机比特重写。
  8. 加密文件被重命名为原来的文件名。
  9. 解密文件,软件需要从远程服务器获取针对这一系统的RSA-2048私有密钥。
  10. 一旦一个有效的解密密钥提供,软件将搜索存储在加密文件中的特定字符串。当字符串被找到,软件提取并解密,以恢复该文件所需要的唯一的256位的AES密钥。

注:如果没有解密密钥,所有加密的文件将永远失去。

版权所有©2014 SynoLocker™保留所有权利。

 

早前攻击:

早在今年年初,Synology(群晖) NAS设备就被发现黑客入侵,并被用于比特币的挖掘,也就是被当作“挖矿机”。国外报道:

http://www.secureworks.com/resources/blog/hacker-hijacks-synology-nas-boxes-for-dogecoin-mining-operation-reaping-half-million-dollars-in-two-months/

当被作为挖矿机时,NAS设备往往表现为执行缓慢,而且有很高的CPU负荷,资源消耗过度。

 

如何防护:

针对黑客攻击,Synology(群晖) NAS设备用户需要采取必要措施来避免被攻击、感染,这里给出防范建议:

 

  1. 升级到Synology(群晖) NAS软件到官方最新版;
  2. 关闭Synology(群晖) NAS设备对外网开发的不必要端口,例如5000, 5001, 21, 22, 23, 80 and 443;
  3. 如何发现被攻击,立即断掉电源,避免更多文件被加密;

 

ZoomEye感知:

ZoomEye针对此次黑客攻击,立即对全球Synology(群晖) NAS设备进行了摸底感知,目前暴露在外网的Synology(群晖) NAS设备有50W之多,分布量图形化展示:

http://www.zoomeye.org/lab/nas

 

关于ZoomEye:

ZoomEye是国内互联网安全公司知道创宇(http://www.knownsec.com/)打造的一个网络空间搜索引擎,该搜索引擎的后端数据包括两部分,网站组件指纹和主机设备指纹,目前已经探测了全球40亿IP和20亿域名。

 

相关漏洞:

  1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6987
  2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6955

 

相关报道:

  1.  http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/
  2.  http://www.pcdiy.com.tw/webroot/article.php?art=544
  3.  http://www.secureworks.com/resources/blog/hacker-hijacks-synology-nas-boxes-for-dogecoin-mining-operation-reaping-half-million-dollars-in-two-months/

 

 

 

作者:niubl | Categories:技术分享 | Tags:

一条评论

  1. 乳胶漆喷涂机说道:

    这黑客吊炸天,真厉害

发表评论