NAS 장치에 대한 랜섬웨어 공격

NAS 장치는 개인 및 기업 모두에 의해 네트워크를 통해 액세스되는 대량의 데이터를 저장하기 위해 널리 사용됩니다. NAS를 백업 저장소로 사용하는 것도 매우 편리하며 많은 경우 NAS 장치가 인터넷에 연결됩니다. 그래서 NAS 장치는 사이버 범죄자들에게 흔한 대상입니다. 일부 랜섬웨어 버전은 특히 NAS를 대상으로 설계되었습니다.

그러나 네트워크의 컴퓨터가 감염되어 NAS에 액세스 할 수있는 경우, NAS에 저장된 파일은 어떤 랜섬웨어든 암호화되고 손상될 수 있습니다. 이것은 기본적으로 NAS가 신뢰할 수 있고 기본적으로 무적이라고 믿는 많은 사용자에게 놀라운 일일 수 있습니다. 이 블로그 글에서는 어떻게 NAS를 랜섬웨어 공격으로부터 보호 할 수 있는지에 대해 설명합니다. 보안 조치 세트에는 일반적인 안티 랜섬웨어 조치와 NAS 특정 조치가 포함됩니다.

NAS에서 자격 증명 변경

랜섬웨어 제작자들은 다양한 NAS 장치에 대한 기본 관리자 사용자 이름과 암호를 잘 알고 있습니다. 관리자 또는 admin은 관리자 계정의 가장 인기있는 사용자 이름입니다. 장치에서 사용자 이름과 암호를 변경하지 않으면 공격자가 쉽게 NAS에 액세스 할 수 있습니다. 관리자 사용자가 자신의 암호를 설정할 때, 공격자는 자동화 도구를 사용하여 브루트 포스 공격을 수행하고 암호를 추측하기 위해 사전을 사용하여 NAS에 대한 완전한 액세스 권한을 얻을 수 있습니다.

대부분의 경우 NAS 장치의 기본 관리자 계정을 삭제할 수 없습니다. 가장 좋은 방법은 NAS에 새 사용자 계정을 만들고 추측하기 어려운 강력한 사용자 이름과 암호를 설정하는 것입니다. 그런 다음이 계정에 모든 관리 권한을 추가하십시오 (기본 관리자 계정에서 사용 가능한 모든 권한). 완료되면 NAS에서 기본 관리자 계정을 비활성화하십시오.

NAS에서 직접 공유 데이터에 액세스하는 사용자를위한 계정을 만들거나 NAS를 Active Directory 도메인에 가입하여 폴더를 공유하고 액세스하는 데 Active Directory 사용자 계정을 사용할 수 있습니다.

공유 데이터에 액세스하는 사용자에게 강력한 암호를 사용하는 것이 중요합니다. 강력한 암호는 대문자, 소문자, 숫자 및 특수 문자 (%,$,&,# 같은)를 포함한 적어도 8자 이상의 문자를 포함해야합니다.

NAS의 데이터는 감염된 컴퓨터에서 공유 폴더로부터 기록 액세스 권한이있는 사용자가 있을 경우 랜섬웨어에 의해 암호화 될 수 있습니다. NAS의 액세스 가능한 데이터도 랜섬웨어에 의해 암호화 될 수 있습니다.

A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS  if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.

다른 좋은 방법은 서로 다른 사용자 범주에 대해 다른 액세스 수준을 설정하는 것입니다. 읽기 전용 액세스가 필요한 사용자는 보안을 더욱 강화하기 위해 쓰기 권한을 가지지 않아야합니다.

방화벽 구성

NAS가 외부 네트워크 또는 인터넷에서 액세스해야하는 경우 게이트웨이의 방화벽을 올바르게 구성하여 신뢰할 수있는 IP 주소에서만 액세스하도록하십시오. 이렇게하면 공격자가 인터넷에서 NAS 장치를 스캔하고 감지하는 것을 방지할 수 있습니다. NAS를 NAT 방화벽 뒤에 배치하는 것이 최선의 옵션입니다.

사용자가 네트워크 외부의 사용자에게 액세스를 허용하는 두 가지 접근 방법이 있습니다: 포트 포워딩과 가상 사설망(VPN). 외부 네트워크에서 NAS에 액세스하려면 데이터에 액세스하는 데 사용되는 프로토콜에 대해 사용자 정의(비표준) 포트 번호를 사용하십시오. 예를 들어, 22 대신 TCP 8122 포트를 사용하십시오. 공격자는 일반적으로 오픈 포트를 감지하기 위해 표준 포트를 스캔하고 계정을 침해하고 NAS에 액세스하기 위해 무차별 대입/사전 공격을 시작합니다. 그러나 모든 포트를 스캔하는 스캐너도 오픈 포트를 찾는 데 사용될 수 있습니다.

모든 포트가 아닌 필요한 포트만 열어 NAS에 액세스를 허용하십시오. 예를 들어, LAN을 통해 파일을 전송하는 경우 SMB를 사용하고 WAN을 통해 파일을 전송하는 경우 SFTP를 사용하면 다른 사용하지 않는 서비스 및 파일 프로토콜을 비활성화하십시오. 지역 네트워크에서는 높은 수준의 보안 때문에 최신 버전의 SMB(CIFS) 프로토콜을 사용하십시오.

원격 연결도 비활성화해야 합니다. Synology NAS의 경우 NAS에 대한 포트 포워딩을 구성하지 않고 어떤 WAN IP 주소에서도 NAS에 연결하기 위해 설계된 퀵 커넥트 기능을 비활성화하십시오. 이 기능을 비활성화하면 NAS에 연결하는 방법이 줄어들어 NAS가 침입당하고 데이터가 랜섬웨어에 의해 암호화될 가능성이 줄어듭니다.

네트워크, 컴퓨터 및 네트워크에 연결된 기타 장치를 보호하십시오. NAS를 온프레미스에서 백업만 저장하는 경우 외부 네트워크에서 NAS로의 연결을 비활성화하십시오. NAS에 내장된 방화벽이 있는 경우 데이터가 정기적으로 백업되는 서버의 IP 주소에서만 연결을 허용할 수 있습니다.

펌웨어를 업데이트하십시오.

NAS 장치는 NAS에서 작동하도록 채택된 펌웨어 또는 특수 운영 체제를 갖고 있습니다. 랜섬웨어는 장치를 감염시키고 파일을 암호화하기 위해 소프트웨어의 보안 취약점을 이용할 수 있습니다. NAS 장치에 설치된 운영 체제도 예외는 아닙니다. 최신 보안 패치가 설치된 최신 보안 패치를 설치하여 발견된 NAS 소프트웨어 취약점을 수정합니다. 보안 업데이트를 설치하면 NAS 장치에 대한 랜섬웨어 공격 위험이 줄어듭니다. 이 경우 자동 업데이트가 유용할 수 있습니다.

참고: 최근에는 eCh0raix 랜섬웨어를 이용한 랜섬웨어 공격이 QNAP NAS 장치를 대상으로 무차별 공격과 소프트웨어 취약점을 사용했습니다. 약한 자격 증명과 패치되지 않은 소프트웨어를 사용하는 사용자들은 eCh0raix에게 공격을 받았습니다. 최근에 NAS 장치를 대상으로한 랜섬웨어 공격에는 AgeLocker와 QSnatch도 포함되어 있습니다.

보안 설정 구성

NAS 장치에는 랜섬웨어 방지에 유용한 내장 보안 설정이 많이 있습니다. 자동 차단 옵션은 NAS에 액세스하기 위한 무차별 공격을 방지하는 데 사용됩니다. 너무 많은 로그인 시도가 감지된 IP 주소를 차단하도록 NAS 소프트웨어를 구성하십시오. 실패한 로그인 시도를 감지하려면 로깅을 활성화하십시오. 계정 보호를 구성하면 XX 분 동안 X 로그인 시도가 실패한 후 해당 시간 동안 로그인 옵션을 차단할 수 있습니다. 무단 액세스에 대한 방어는 NAS 장치를 대상으로한 랜섬웨어 공격의 확률을 줄입니다. NAS가 인터넷에 노출되어 있는 경우 DDoS 보호를 활성화하십시오. 이 옵션은 온라인 서비스를 방해하는 것으로 설계된 분산 서비스 거부 공격에 대비하여 NAS 장치를 보호합니다.

보안 연결 사용

NAS에는 항상 암호화된 연결을 사용하세요. NAS 웹 인터페이스에 액세스하기 위해 HTTP 대신 HTTPS 프로토콜을 사용하도록 연결을 SSL로 활성화하세요. 외부 사용자와 파일을 공유하는 경우, FTP 대신 SFTP 또는 FTPS를 사용하세요. 왜냐하면 전통적인 FTP는 암호화를 지원하지 않기 때문입니다. 암호화되지 않은 네트워크 프로토콜을 사용하면 제3자가 네트워크를 통해 전송된 데이터를 캡처할 수 있습니다. 보안되지 않은 암호화되지 않은 연결을 사용하면 비밀번호가 평문으로 전송됩니다. 명령 줄 인터페이스에서 NAS를 관리하기 위해 Telnet 대신 SSH를 사용하세요.

전체 환경 보호

효과적인 랜섬웨어 보호에는 네트워크에 연결된 모든 기기에 대한 완전한 조치 세트가 필요합니다. 하나의 보호되지 않은 기기조차도 랜섬웨어의 진입점으로 사용될 수 있습니다. 모든 기기의 펌웨어를 업데이트하고 모든 기계에 보안 패치를 설치하세요. 스팸 및 피싱 이메일이 가장 인기 있는 랜섬웨어 감염 방법이기 때문에 이메일 보호를 위해 안티 스팸 필터를 구성하세요. 가능한 빨리 랜섬웨어 사이버 공격을 감지하고 파일 암호화 및 랜섬웨어 전파를 중지하기 위해 모니터링을 구성하세요.

데이터 백업

사이버 범죄자들은 새로운 취약성을 찾고 공격 기술을 개선하여 사용자를 공격하고 데이터를 암호화하려고 합니다. 랜섬웨어 공격이 더욱 정교해지고 있습니다. 그래서 정기적으로 데이터를 백업해야 합니다. 백업을 갖고 있으면 랜섬웨어 공격이나 데이터 손실로 인한 기타 재해 발생 시에도 데이터를 짧은 시간 내에 복원할 수 있습니다. NAS 장치는 일반적으로 백업 대상으로 사용되지만 랜섬웨어의 대상이 될 수도 있습니다. 이러한 이유로 3-2-1 백업 규칙에 따라 백업 복사본을 만들어야 합니다. 정기적으로 데이터를 백업하고 여러 백업 복사본을 만드세요. 파일이 랜섬웨어로 암호화되었다면, 금전적 보상을 지불하지 마십시오. 보상을 지불하면 사이버 범죄자들이 더 많은 공격을 시작하도록 유인합니다.

NAKIVO Backup & Replication은 NAS에 설치할 수 있는 범용 데이터 보호 솔루션으로, 테이프 및 클라우드로 백업 복사본을 만드는 것을 포함하여 NAS로 데이터를 백업할 수 있습니다. NAKIVO Backup & Replication은 VMware vSphere VMs, Microsoft Hyper-V VMs, Amazon EC2 인스턴스, Linux 기기, Windows 기기, Microsoft 365, Oracle 데이터베이스의 백업을 지원합니다. 무료 에디션을 다운로드하여 NAKIVO Backup & Replication의 다양한 기능을 간편하게 살펴보세요. 무료 에디션은 1년 동안 무료로 10개의 워크로드 및 5개의 Microsoft 365 계정을 보호할 수 있습니다!

랜섬웨어 공격으로부터 복구하는 방법, 랜섬웨어 전파 방법 및 제거 방법 등에 대해 자세히 알아보기 위해 다른 블로그 게시물을 읽어보세요.

결론

NAS 장치의 인기가 높아지면서 랜섬웨어가 NAS를 대상으로 하는 사례도 늘어나고 있습니다. NAS 장치를 랜섬웨어 공격으로부터 보호하려면 완전한 보호책을 시행해야 합니다. 강력한 암호를 설정하고, 방화벽을 구성하고, 권한을 구성하고, NAS와 네트워크의 다른 컴퓨터에서 소프트웨어를 보호하고, 보안 패치를 정기적으로 설치해야 합니다. 조직의 이메일 서버에서 이메일 필터링을 구성하여 스팸 및 피싱 이메일로부터 사용자를 보호해야 합니다. 그러나 가장 중요한 것은 랜섬웨어 사건 후 데이터를 복구할 수 있도록 정기적으로 데이터를 백업하는 것입니다.