针对 NAS 设备的勒索软件攻击

NAS设备被个人和公司广泛使用，用于存储大量数据以通过网络访问。将NAS用作备份存储也非常方便，在许多情况下，NAS设备连接到互联网。这就是为什么NAS设备是网络犯罪分子的常见目标。一些勒索软件版本专门设计用于攻击NAS。

然而，如果网络中的计算机感染并访问NAS，NAS上存储的文件可能会被任何勒索软件加密和损坏。这可能会让许多用户感到惊讶，他们认为NAS是可靠的，并且默认情况下是无法被攻击的。本博文解释了如何保护NAS免受勒索软件攻击。安全措施包括一般的反勒索软件措施以及特定于NAS的措施。

更改NAS上的凭据

勒索软件制作者非常了解不同NAS设备上的默认管理员用户名和密码。管理员或admin是管理账户最常见的用户名。如果设备上的用户名和密码未更改，攻击者可以轻松访问NAS。当管理员用户设置自己的密码时，攻击者可以使用自动化工具进行暴力攻击和字典猜测密码，以完全访问NAS。

在大多數情況下，您無法刪除 NAS 設備上的內建管理員帳戶。最好的做法是在 NAS 上創建一個新的使用者帳戶，並設置一個難以猜測的強密碼和用戶名。然後將所有管理權限添加到此帳戶（包括默認管理員帳戶可用的所有權限）。完成後，禁用 NAS 上的默認管理員帳戶。

您可以為直接訪問 NAS 的用戶創建帳戶，或者將 NAS 加入到 Active Directory 域並使用 Active Directory 使用者帳戶共享文件夾並訪問它們。

確保為訪問共享數據的用戶使用強密碼。強密碼至少包含8個字符，包括大寫字母、小寫字母、數字和特殊字符（如％、$ ＆＃）。

如果用戶從感染了勒索軟件的計算機寫訪問到 NAS 上的共享文件夾，NAS 上的數據可能會被勒索軟件加密。 NAS 上可訪問的數據也可能被勒索軟件加密。

A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS  if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.

另一個良好的做法是為不同類別的用戶設置不同的訪問級別。需要僅讀訪問權限的用戶不應該具有寫入權限，以進一步提高安全性。

配置防火牆

如果您的 NAS 必須從外部網絡或互聯網訪問，請正確配置網關上的防火牆，僅允許從可信IP地址訪問。這樣可以防止攻擊者通過互聯網掃描和檢測您的 NAS 設備。最好的選擇是將您的 NAS 放在 NAT 防火牆後面。

有兩種方法可以讓外部用戶訪問您的網絡：端口轉發和虛擬私人網絡（VPN）。如果您使用端口轉發從外部網絡訪問您的NAS，請使用自定義（非標準）端口號來訪問數據的協議。例如，使用TCP 8122端口代替22端口。攻擊者通常掃描標準端口以檢測開放端口，並開始暴力/字典攻擊以破壞帳戶並訪問NAS。然而，也可能使用掃描所有端口的掃描器來尋找開放端口。

僅開放所需端口以訪問您的NAS，而不是所有端口。例如，如果您使用SMB在局域網上傳輸文件，並使用SFTP在廣域網上傳輸文件，請禁用其他未使用的服務和文件協議。在本地網絡中選擇使用最新版本的SMB（CIFS）協議，因為其具有更高的安全性水平。

您還應禁用遠程連接。在Synology NAS上，禁用旨在從任何WAN IP地址連接到NAS的快速連接功能而無需配置端口轉發。禁用此功能可減少連接到NAS的方式，從而減少NAS被破壞並數據被勒索軟件加密的可能性。

保護您的網絡、計算機和其他連接到網絡的設備。如果您僅將NAS用於在現場存儲備份，請禁用從外部網絡連接到NAS的連接。如果您的NAS上有內置防火牆，則可以僅允許從定期備份數據的服務器的IP地址進行連接。

更新韌體

NAS 裝置具有韌體或特殊作業系統，用於在 NAS 上運作。勒索軟體可以利用軟體的安全漏洞來感染裝置並加密檔案。而安裝在 NAS 裝置上的作業系統也不例外。定期更新 NAS 韌體（作業系統）和應用程式，安裝最新的安全補丁，修復發現的 NAS 軟體漏洞。安裝安全更新可降低勒索軟體對 NAS 裝置的攻擊風險。在這種情況下，自動更新可能很有用。

注意：最近的勒索軟體攻擊涉及 eCh0raix 勒索軟體使用暴力和軟體漏洞來針對未打補丁的 QNAP NAS 裝置。使用弱憑證和未打補丁軟體的使用者遭受 eCh0raix 攻擊。針對 NAS 裝置的最新勒索軟體攻擊還包括 AgeLocker 和 QSnatch。

配置安全設定

許多NAS設備都具有內建的安全設置，對於防範勒索軟體攻擊非常有用。自動封鎖選項用於防止暴力攻擊以取得對NAS的訪問權限。配置NAS軟體以封鎖檢測到過多登錄嘗試的IP位址。啟用記錄以檢測登錄失敗的嘗試。配置帳戶保護功能可讓您在X次登錄失敗後封鎖登錄選項，並設定XX分鐘的適當時間。防範未經授權的訪問可降低針對NAS設備的勒索軟體攻擊的機率。如果您的NAS設備暴露在互聯網上，請啟用DDoS防護。此選項可保護NAS設備免受分散式阻斷服務攻擊，該攻擊旨在干擾在線服務。

使用安全連線

始終使用加密連線連接到您的NAS。啟用SSL連線以使用HTTPS協議，而不是HTTP來訪問NAS網頁介面。如果與外部用戶共享文件，請改用SFTP或FTPS，而不是FTP，因為傳統FTP不支援加密。當您使用沒有加密的網絡協議時，第三方可以截取在網絡上傳輸的數據。在使用不安全的未加密連線時，密碼將以明文形式傳輸。在命令行介面中管理您的NAS時，請使用SSH而不是Telnet。

保護整個環境

有效的勒索軟體保護需要一套完整的措施，針對連接到您的網絡的所有設備。即使一個未受保護的設備也可能被用作勒索軟體的入口。更新所有設備的固件，安裝所有機器的安全補丁。使用反垃圾郵件過濾器配置電子郵件保護，因為垃圾郵件和釣魚郵件是最受歡迎的勒索軟體感染方法。配置監控以盡快檢測勒索軟體的網絡攻擊，並停止文件加密和勒索軟體的擴散。

備份數據

網絡犯罪分子正在尋找新的漏洞，改進攻擊技術來攻擊用戶並加密其數據。勒索軟體攻擊變得更加複雜。這就是為什麼您應該定期備份您的數據。備份可以讓您在勒索軟體攻擊或其他導致數據丟失的災難發生時迅速恢復數據。NAS設備通常用作備份目的地，但它們也可能成為勒索軟體的目標。因此，您應該基於3-2-1備份規則創建備份副本。定期備份您的數據並創建多個備份副本。如果您的文件被勒索軟體加密，請不要支付贖金，因為支付會激勵網絡犯罪分子發動更多攻擊。

NAKIVO Backup & Replication 是一款通用的資料保護解決方案，可安裝於NAS，並能將您的資料備份至NAS及其他儲存設備，包括建立備份副本至磁帶和雲端。NAKIVO Backup & Replication 支援備份VMware vSphere VM、Microsoft Hyper-V VM、Amazon EC2 實例、Linux 機器、Windows 機器、Microsoft 365 和Oracle 資料庫。您可以透過下載免費版來探索NAKIVO Backup & Replication 的各種功能和功能。免費版允許您免費保護10個工作負載和5個Microsoft 365 帳戶，為期一年！

閱讀其他有關勒索軟體的部落格文章，以了解更多關於從勒索軟體攻擊中恢復，勒索軟體如何傳播，以及如何移除它。

結論

隨著NAS設備的日益普及，針對NAS的勒索軟體攻擊也在增加，不幸的是。為了保護NAS設備免受勒索軟體攻擊，您應該實施一套完整的措施。設定強密碼，配置防火牆，配置權限，保護NAS上的軟體和您網絡中的其他電腦上的軟體，定期安裝安全補丁。在您組織的電子郵件伺服器上配置電子郵件過濾，以防止用戶受到垃圾郵件和釣魚郵件的攻擊。但最重要的是，確保定期備份您的資料，以確保在勒索軟體事件後能夠恢復。