Вирусы в сетевом хранилище

Обновлено: 22.04.2024

Вы уже используете NAS для резервного копирования? Мы расскажем, как правильно защитить его от новых угроз.

12 декабря 2017

Пользователи делятся на две категории — те, кто еще не делает бэкапы, и те, кто уже делает. Когда сгоревший жесткий диск или гнусный шифровальщик в одночасье уничтожает все важные файлы, сразу понимаешь, что надо было заранее предусмотреть такие ситуации. Но наладить резервное копирование — это полдела. Вторая половина — защитить домашний дата-центр от зловредов, которые сейчас стали охотиться именно за такими целями.

Зловреды идут на NAS

Фильмы и сериалы на ноутбуке или ПК, греющие душу отпускные кадры в смартфоне, рабочие документы и личная переписка — рано или поздно у большинства пользователей возникает желание сложить все цифровое богатство в некоем одном защищенном месте, где ему не будут угрожать неприятности внешнего мира.

К сожалению, чем популярнее становятся сетевые хранилища, тем чаще они попадают под прицел киберпреступников. За примерами далеко ходить не надо — после майской эпидемии WannaCry о вирусах-шифровальщиках узнали даже те, кто далек от темы информационной безопасности. Такие зловреды уже умеют дотягиваться до сетевых дисков, а некоторые даже специально разрабатываются с расчетом на NAS-устройства.

Например, буквально на днях стало известно о зловреде-шифровальщике StorageCrypt, который попадает на NAS через уязвимость SambaCry и шифрует на нем файлы, требуя потом за расшифровку весьма внушительные суммы — 0,4 или 2 битокойна, что по нынешнему курсу примерно равно 6400 или 32 000 долларов соответственно. StorageCrypt уже оставил немало людей без резервных копий.

Через ту же уязвимость Sambacry, кстати, можно подселять на устройство самую разную заразу — шпионское ПО, программы для DDoS-атак или майнеры криптовалюты. Но в большинстве случаев проблем можно было бы избежать, правильно настроив NAS.

Как правильно настроить NAS, чтобы не было мучительно больно

Если вы пользуетесь NAS для бэкапов, значит, безопасность ваших данных — для вас далеко не последний приоритет. В таком случае можно поступиться некоторыми удобными функциями ради сохранности файлов. Мы уже рассказывали в блоге, на что нужно обратить внимание при создании своей системы резервного копирования. Если коротко, то главное, чтобы хранилище было изолировано от внешних подключений, то есть чтобы к нему нельзя было подобраться из Интернета. Конечно, удобно соединяться с медиатекой прямо из электрички (сразу чувствуешь себя настоящим человеком XXI века), но удобно это не только вам.

Важно помнить, что злоумышленники активно пользуются специальными поисковиками, которые автоматически сканируют Интернет на предмет открытых сетевых портов. Перед тем же StorageCrypt оказались уязвимы почти полмиллиона устройств. Какая зараза ждет нас завтра и через какие дыры она будет ломиться к нам домой — неизвестно.

Хотите, чтобы ваши данные были надежно защищены от StorageCrypt и его возможных последователей? Тогда вот вам наши советы по настройке NAS:

У всех на слуху скандал, связанный с хакерской группой Qlocker, которая написала программу-шифровальщик, проникающий на сетевые хранилища. С 20 апреля число жертв вымогателей идет на сотни в день. Хакеры используют уязвимость CVE-2020-36195, программа заражает NAS и шифрует информацию. Расшифровать данные можно только после выкупа. К счастью, NAS Synology этой уязвимости не имеют. Но мы все равно посчитали нужным рассказать о том, как следует защитить сетевое хранилище, чтобы избежать потенциальных рисков.

Внимание: для большинства приведенных в статье советов требуются права администратора NAS.

Совет 1: отключите учетную запись администратора по умолчанию

Распространенные имена учетных записей администратора облегчают злоумышленникам атаки методом грубой силы на Synology NAS через подбор пароля. Избегайте таких имен, как admin, administrator, root (*) при настройке NAS. Мы рекомендуем сгенерировать сильный и уникальный пароль для администратора Synology NAS, а также отключить учетную запись администратора по умолчанию. Если при настройке NAS вы задали административную учетную запись с новым именем, то учетная запись admin будет автоматически отключена.


Если вы зашли как пользователь admin, то перейдите в Панель управления, выберите пункт Пользователь и группа, после чего создайте новую административную учетную запись. Затем войдите под новой записью и отключите admin.

* root в качестве имени пользователя запрещен

Совет 2: используйте сильный пароль

Сильный пароль, который невозможно подобрать, защищает систему от неавторизованного доступа. Создавайте пароли, сочетающие прописные и строчные буквы, цифры, специальные символы.

Помните, что хакеры подбирают пароли по словарям. Поэтому использовать в качестве пароля какое-либо слово нельзя. Если хакеры получат доступ к административной учетной записи, то они смогут добраться и до учетных записей других пользователей. Что нередко случается в случае взлома тех же веб-сайтов. Мы рекомендуем проверять на утечки ваш адрес email на сайтах Have I Been Pwned и Firefox Monitor, например.

Если вы боитесь забыть сложный пароль, то следует использовать менеджер хранения паролей (такой как 1Password, LastPass или Bitwarden). С их помощью придется запоминать только один пароль для менеджера, после чего будет открыт доступ ко всем хранящимся паролям.


Для пользователей Synology NAS можно включить политику паролей, которая будет действовать для всех учетных записей. Перейдите в Панель управления — Пользователь и группа — Дополнительно. Поставьте в пункте Применить правила надежности пароля нужные галочки.


Политику пароля можно применить и к существующим пользователям. Им придется изменить пароль при следующем входе в систему.

Совет 3: всегда обновляйте систему и включите оповещения

Synology регулярно выпускает обновления DSM, которые обеспечивают оптимизацию производительности и добавляют новые функции. А также исправляют ошибки и закрывают обнаруженные уязвимости.


Для большинства пользователей рекомендуется настроить автоматическое обновление, чтобы все имеющиеся патчи DSM устанавливались без участия администратора. Но для самых крупных обновлений вмешательство администратора все же потребуется.


Многие сетевые хранилища Synology имеют возможность запуска Virtual DSM внутри Virtual Machine Manager, то есть виртуальную версию операционной системы DSM. Использовать Virtual DSM имеет смысл, чтобы протестировать те или иные функции, а также обновления. Например, можно установить на Virtual DSM последнюю версию DSM, после чего проверить работу ключевых функций в вашей конфигурации. А уже затем переходить к обновлению непосредственно устройств.


Не менее важно получать своевременные оповещения о событиях. Можно настроить NAS Synology таким образом, чтобы получать оповещения на email, SMS, на смартфон или в браузере. При использовании сервиса Synology DDNS можно получать оповещения, если будет потеряно подключение к сети. Благодаря оповещениям администратор может своевременно отреагировать на заканчивающееся пространство тома, сбой задачи резервирования и т.д. Все это позволяет наладить надежно работающую и защищенную систему.


Мы рекомендуем добавить в учетной записи Synology подписку на Инструкции по безопасности, что позволить получать техническую информацию об уязвимостях продуктов и инцидентах, связанных с безопасностью.

Совет 4: включите двухфакторную аутентификацию

Если вы хотите добавить еще один уровень защиты учетной записи, мы рекомендуем активировать двухфакторную аутентификацию. В DSM 7.0 появилась двухфакторная аутентификация с помощью мобильного приложения или аппаратного ключа, усиливающая защиту.

Synology поддерживает мобильное приложение Secure SignIn, а также протокол FIDO2, который опирается на аппаратные ключи безопасности (USB-ключ, Windows Hello на ПК или Touch ID на macOS). Данные способы намного менее уязвимы, чем использование паролей, которые часто крадут через фишинг, методы социальной инженерии, вирусы и т.д.

Вирусы-шифровальщики уже не первый год сотрясают ИТ-рынок последствиями своей подпольной работы. Скрываясь за ссылкой в email или в JavaScript коде на странице веб сайта, они молчаливо инсталлируются на рабочие компьютеры или сервера и начинают тихо зашифровывать всю информацию. После окончания шифрования, одни просто удаляют ключ шифрования, другие требуют выкуп, но далеко не все пользователи, заплатившие его получают ключ шифрования. Как же с ними можно бороться? Самое главное средство борьбы – быть подготовленным к наихудшему.



Системы хранения NetApp FAS/ONTAP

Имеют не только множество интеграций с множеством софта для резервного копирования, антивирусными системами и другими инфраструктурными системами, но также обеспечивают высокую доступность для NAS (NFS, CIFS/SMB) и SAN (iSCSI, FC, FCoE). Унифицированное хранилище позволяет обеспечивать прозрачную миграцию данных между нодами кластера, который может состоять из 24 узлов, а также позволяет задействовать одновременно все ноды для обслуживания NAS и SAN с целью повышения производительности. Таким образом можно полностью отказаться от подверженных уязвимостям Windows Server — не покупать лицензии и не строить кластеры для высокой доступности, ведь весь функционал уже имеется в NetApp ONTAP, в том числе интеграция с AD, настройки безопасности файлов и папок, Access Based Enumeration и всем привычная консоль управления MMC.

Резервное копирование

Как в самых больших организациях, так и в маленьких фирмах рабочие файлы располагают на общедоступном файловом хранилище, чтобы все могли ими пользоваться. Централизация хранения даёт удобство для совместной работы нескольким людям над одними и теми же файлами, но это накладывает и ответственность по защите такой информации. Естественно для борьбы с вирусами-шифровальщиками необходимо регулярно выполнять резервное копирование по схеме 3-2-1. Резервные копии важно хранить отдельно от основной системы.

Системы хранения NetApp FAS/ONTAP имеют в своем арсенале снэпшоты не влияющие на производительность и репликацию на базе этих снэпшотов, которые позволяют интегрироваться с широким списком систем резервного копирования использующие технологии системы хранения данных NetApp, как для среды NAS так и SAN:

Снэпшоты для спасения

Но полное восстановление, во-первых, может быть достаточно длительным, а во-вторых резервное копирование может выполняться не каждые 15 минут, таким образом увеличивая RPO. И вот здесь становится понятно, насколько важной частью резервного копирования являются снэпшоты, которые можно выполнять намного чаще нежели резервные копии с NAS или SAN хранилища и соответственно восстанавливать такие данные намного быстрее из снэпшотов, таким образом существенно уменьшив значение RPO. И вот здесь становится понятно насколько важно, чтобы такие снэпшоты функционировали как часы, не тормозили работу всего хранилища, не имели архитектурных проблем по удалению и консолидации. При этом снэпшоты это не замена резервному копированию, а важное дополнение для полноценной стратегии резервного копирования. Так процедуру создания снэпшотов можно выполнять достаточно часто, чтобы захватывать самые последние изменения вашей информации.

Снэпшоты это не полная копия данных, только разница новых данных на блочном уровне, своего рода обратный инкрементальный бэкап, который более рационально использует пространство хранилища, нежели полный бэкап. Но всё равно это пространство используется, чем больше изменений, тем больше попадает информации в снэпшот. Настроенное расписание авто-удаления старых снэпшотов позволит более рационально использовать ресурсы хранилища и не съесть всё доступное пространство на дорогостоящем NAS хранилище. А резервное, будет хранить намного дольше по времени копии более старых версий информации.


Среда SAN

Снэпшоты NetApp ONTAP одинаково эффективны как в среде NAS, так и SAN, одинаково архитектурно устроены, имеют одинаковый интерфейс, настройку, скорость снятия и восстановления, что позволяет более быстро откатываться назад в случае повреждения данных.

Снэпшоты и технология NetApp FabricPool

Отдельно стоит отметить технологию FabricPool, позволяющую прозрачно смещать снепшоты и холодные данные с SSD накопителей на медленные диски в объектное хранилище, что позволит активно и часто использовать настолько важную технологию снэпшотирования на дорогостоящих носителях информации.

Как снэпшоты не должны работать

Многие уже сталкивались с различными реализациями снэпшотов и уже на практике знают, как снэпшоты не должны работать:

  • они не должны увеличивать нагрузку на дисковую подсистему просто от наличия снэпшота;
  • они не должны увеличивать нагрузку просто от большего числа снэпшотов;
  • они не должны медленно создаваться и удаляться и этот процесс не должен влиять на производительность дисковой подсистемы;
  • они не должны удаляться так чтобы повредить основные данные;
  • им не должно быть разницы сколько данных, всё должно работать быстро, моментально и без малейшей возможности повредить информацию из-за удаления или консолидации снэпшота.

Автоматизация восстановления

Интеграция снэпшотов хранилища с операционными системами позволит снять рутину с администратора хранилища по восстановлению отдельных файлов. Чтобы пользователи сами могли восстанавливать свои файлы из снэпшотов прямо из своего Windows компьютера стандартными средствами ОС.


Репликация снэпшотов

Технология Write Once Read Manу или WORM, также известна и под другими коммерческими названиями, к примеру NetApp SnapLock построенная на базе снэпшотирования, позволяет заблокировать данные на длительный срок от изменений, в том числе и от пользователей системы хранения с повышенными привилегиями. Так можно хранить прошивки, конфигурации от разнообразных устройств, к примеру свичей, роутеров и прочее. Подобного рода файлы редко если вообще меняются в течении жизни устройства, а хранилища с поддержкой WORM надежное место для расположения важных файлов-настроек для инфраструктуры, которые точно не заражены, их нельзя менять, но их можно читать. Это свойство можно использовать для того, чтобы загружать конфигурации и прошивки для ключевых компонент вашей инфраструктуры.

Антивирусная защита NAS

Ну и конечно же возможность проверки файлов на стороне хранилища тоже будет не лишней. Системы NetApp FAS/ONTAP интегрируются с широким списком антивирусных систем которые будут выполнять проверку корпоративных данных на NAS хранилище. Поддерживаются самые известные системы антивирусного сканирования:

  • Symantec
  • Trend Micro
  • Computer Associates
  • McAfee
  • Sophos
  • Kaspersky

Снэпшоты как индикатор заражения RansomWare

Как было сказано ранее снэпшоты хранят в себе блочную дельту, — разницу между предыдущим своим состоянием и между текущим, то есть актуальным. И чем больше изменений внесено в актуальные данные, тем больше занимает снэпшот. Кроме того, стоит ещё упомянуть про технологии компрессии и дедупликации данных, которые позволяют сжимать оригинальные данные, экономя пространство на хранилище. Так вот некоторые данные не компрессируются. К примеру фото, видео или аудио данные, а какие данные ещё не жмутся? Правильно, зашифрованные файлы. И вот представьте вы настроили расписание снэпшотов, у вас работает дедупликация и компрессия. Снэпшоты снимаются, а более старые удаляются, данные жмутся, потребление пространства достаточно размеренное и стабильное. И вдруг снэпшоты начинают занимать намного, намного больше места нежели раньше, а дедупликция и компрессия перестали быть эффективными. Это и есть индикаторы молчаливой и вредоносной работы вируса-шифровальщика: ваши данные, во-первых, сильно изменяются (растут снэпшоты в объёме, по сравнению с тем, как это было раньше), во-вторых дедуп и компрессия перестали давать результат (значит записывается несжимаемая информация, к примеру оригиналы файлов подменяются на зашифрованные версии). Эти два косвенных показателя приводят к нерациональному потреблению пространства на хранилище, и вы можете заметить это на графике потребления пространства в интерфейсе мониторинга NetApp, который внезапно начал геометрически расти вверх.


Файл-Скрининг Fpolicy

Fpolicy и ONTAP directory-security API это механизмы которые позволяют анализировать файл, и в зависимости от настроенных политик разрешать или не разрешать, записывать его или работать с ним для протокола SMB/CIFS. Анализ файла можно проводить на основе расширения файла (встроенный функционал Fpolicy в ONTAP) или по содержимому, тогда нужно специализированное ПО использующее эти два механизма.

Free Cleondis SnapGuard Light Edition

Бесплатный продукт Cleondis SnapGuard Light Edition (SGLE) предназначен не только для выявления на CIFS/SMB шаре, но и для восстановления после вирусов-шифровальщиков при помощи снэпшотов на платформе NetApp ONTAP. SGLE способен распознавать шаблоны вредоносной работы вирусов шифровальщиков, которые начинают шифровать ваши файлы и остановить клиенты которые заражены от дальнейшего нанесения вреда и полностью совместим с существующими антивирусными системами.

Free Prolion DataAnalyzer-light
Varonis

Varonis очень мощьное промышленное решение, которое не только способно отследить шифрование, отключить зараженных пользователей от NAS (CIFS/SMB), но также найти и восстановить те файлы, которые были зашифрованы.

SMB1 и WannaCry / Petya

Вирусы WannaCry / Petya используют уязвимость в протоколе SMB1 на Windows машинах, этой уязвимости нет в системах NetApp ONTAP. Но попав на Windows вирус может зашифровать файлы расположенные на NAS хранилище, по-этому рекомендуется настроить снепшоты по расписанию. Компания NetApp рекомендует отключить SMB1 и перейти на более новые версии протоколов SMB v2 или v3 на клиентских Windows Workstation, чтобы избежать заражения.

Более новые версии вируса способны отключать теневое копирование VSS на Windows хостах, но так как расписание снэпшотов на NAS хранилище NetApp настраиваются, включаются и выключаются на самом СХД, то выключенный VSS никак не повлияет на работу снэпшотов.

Открыть Powershall от имени администратора и вставить следующие строки

В связи с массовыми заражениями данных вирусами типа RansomWare, Megatrade, официальный дистрибьютор NetApp в Украине запускает акцию для своих существующих и будущих клиентов по:

  • настройке ONTAP снэпшотов для NAS, SnapRestore, Virtual Storage Console
  • установке бесплатного ПО мониторинга заражения RansomWare для ONTAP (CIFS/SMB)
  • настройке интеграции ONTAP с антивирусными системами для CIFS/SMB
  • обучению по использованию ONTAP снэпшотов с SAN доступом

Вывод

В заключение стоит отметить, что снэпшоты это не замена, а важная часть стратегии резервного копирования, которая позволяют более быстро, более часто резервировать данные и быстрее их восстанавливать. Снэпшоты WAFL являются базисом для клонирования, SnapLock и репликации данных на резервную СХД, не тормозят систему, не требуют консолидации и склеивания, являются эффективным средством резервного копирования данных. Системы хранения корпоративного уровня NetApp FAS/ONTAP имеют множественные технологии и интеграции позволяющие быть готовым к наихудшему. Ну, и в контексте последних событий, рассмотренные выше технологии еще и становится весьма актуальной для защиты вашей информации от различных зловредов.

Мы изучили текущую инфраструктуру популярных устройств NAS и выявили значительные угрозы и риски, которые могут привести к их компрометации. В этом посте — наиболее важные результаты нашего исследования.

Обзор ситуации

Количество подключённых к интернету устройств постоянно растёт. И хотя сетевые накопители не являются значимой причиной для этого роста, по возможностям, которые получают взломщики, NAS значительно превосходят большинство IoT-устройств. В пользу этого говорит и постоянное появление новых семейств вредоносных программ, нацеленных на сетевые накопители, а также добавление поддержки NAS в уже известные разновидности вредоносов.

Киберзлодеи обратили внимание на сетевые накопители по нескольким причинам. Основные из них:

преимущественно неквалифицированное администрирование со стороны владельцев, которые не задумываются о безопасности;

наличие постоянного подключения к интернету;

хранение ценных для владельцев данных;

современные операционные системы;

достаточно мощное железо.

Рассмотрим эти факторы немного подробнее.

Неквалифицированное администрирование

Покупатели NAS решают свои задачи — в первую очередь, это хранение домашнего фото- и видеоархива, просмотр фильмов и сериалов с домашнего медиасервера, в роли которого выступает сетевой накопитель. Даже настроенная Time Machine для компьютеров с macOS или резервное копирование Windows-машин — скорее исключение, чем распространённое явление.

Люди считают, что раз они заплатили деньги за NAS, они должны просто включить его, а оно должно сразу заработать. Пользователи не собираются тратить дополнительные деньги на софт для безопасности или время на настройку защиты.

И хотя некоторые производители предлагают включить базовые механизмы безопасности в своих устройствах NAS, набор безопасных настроек не включаются по умолчанию. Например, сетевой накопитель QNAP TS-451+ после завершения начальной настройки предупреждает пользователя о наличии более безопасных конфигураций, но не настаивает на их включении.


Предупреждение о дополнительных настройках безопасности устройства QNAP TS-451+: Рекомендация отключить профиль администратора по умолчанию, а также включить двухэтапную проверку при входе в панель управления устройством. Источник здесь и далее — Trend Micro.

Что ещё хуже, обновления безопасности не являются обязательными. Владелец NAS может продолжать использовать старую уязвимую версию прошивки в течение длительного времени, прежде чем он получит предупреждение или уведомление, которое только предлагает обновить прошивку, а не требует его. Это открывает огромное окно возможностей для злоумышленников, которые ищут уязвимые устройства для эксплуатации или даже для перебора паролей, особенно если устройство доступно через интернет.

Постоянное подключение к интернету

Быстрый поиск в интернете с помощью Shodan выявляет тысячи незащищённых устройств NAS:


Эти цифры не означают, что все найденные устройства уязвимы. Даже их количество, учитывая изменчивость сетей, вряд ли является точным. Тем не менее, они дают представление о количестве NAS, подключённых непосредственно к интернету, а значит указывает на то, что их владельцы уже проигнорировали одну из ключевых рекомендаций по безопасности.

Ценные данные

Главная задача NAS — хранение ценных данных. Более того, эти устройства принято считать самыми надёжными местами для резервного копирования файлов пользователей: рабочих документов, домашнего архива фотографий и видео. Что произойдёт, если банда вымогателей зашифрует все данные на устройстве NAS, которое используется для хранения резервных копий? К сожалению, у большинства людей нет отдельного плана резервного копирования для самого устройства резервного копирования.

Современные операционные системы

Практически на всех NAS используется Linux, причём даже чаще, чем на IP-камерах и роутерах на сетевых накопителях дистрибутив содержит Python и другие компиляторы и интерпретаторы. Это позволяет разработчикам создавать программы практически на любом языке, используя стандартные и хорошо известные библиотеки и стабильную среду, которую обеспечивает Linux и его родные инструменты. Разумеется, эти возможности весьма привлекательны для киберпреступников, которые хотят написать переносимый код один раз, а затем практически без изменений выполнять его на разных устройствах и даже накопителях разных производителей.

Производительное железо

Тот факт, что в современных NAS-устройствах используются стандартные для отрасли процессоры, облегчает жизнь не только разработчикам приложений, но и разработчикам вредоносных программ. Хорошим примером является серия TS-x51 от QNAP, которая оснащена четырёхъядерным процессором Intel Celeron 2 ГГц. Это позволяет выполнять энергоёмкие задачи, например декодирование потокового видео 4K для владельца, а для злоумышленников майнинг криптовалюты. Для некоторых наших тестов мы использовали модель TS-451+, указанную на сайте QNAP как устройство для малого офиса/домашнего офиса (SOHO) или домашнего использования.

Информация о процессоре устройства QNAP TS-451+

Информация о процессоре устройства QNAP TS-451+

Что же угрожает владельцам NAS?

В рамках нашего исследования мы определили различные угрозы и выявили конкретные семейства вредоносного ПО, которые нацелены на устройства NAS и могут нанести ущерб их владельцам, в том числе нарушить работу компаний, использующих сетевые накопители.

Вымогательское ПО

Хотя программы-вымогатели в целом известны тем, что наносят серьёзный ущерб компьютерам своих жертв, оказалось, что большинство устройств NAS уязвимы как для традиционных, так и для специализированных разновидностей этой угрозы. Учитывая объём данных, хранящихся в этих IoT-устройствах, они могут стать ещё одной выгодной целью для операторов вымогателей.

Qlocker написан на Python и шифрует файлы на NAS с помощью обычного 7-Zip.

Открытый ключ, найденный в вымогателе Qlocker.

Открытый ключ, найденный в вымогателе Qlocker.

Qlocker создаёт уникальный пароль для шифрования, получая серийный номер устройства QNAP с помощью встроенного инструмента QNAP по адресу /sbin/get_hwsn. После этого он случайным образом выбирает 32 символа из стандартных букв и цифр. Затем эта строка добавляется к серийному номеру с разделителем вертикальная черта (|). Затем Qlocker шифрует всю строку с помощью открытого ключа и кодирует результат в base64. Именно этот ключ показывается пользователю для ввода на Tor-сайте банды вымогателей.

Интересно, что весь процесс шифрования остаётся полностью на усмотрение встроенной утилиты 7-Zip. Создатели Qlocker оставляют самую сложную часть работы на долю архиватора:

Фрагмент кода Qlocker с запуском 7-Zip.

Фрагмент кода Qlocker с запуском 7-Zip.

Фрагмент кода Qlocker для создания вымогательской записки.

Фрагмент кода Qlocker для создания вымогательской записки.

После оплаты жертва должна ввести в систему свой идентификатор криптоволютной транзакции, чтобы получить наконец пароль для расшифровки файлов.

Помимо Qlocker мы зафиксировали другие вымогательские семейства, атакующие владельцев сетевых накопителей. Самые многочисленные — REVil, eCh0raix и DarkSide. Примечательно, что многие операторы вымогателей находятся в процессе адаптации своих разработок к атакам на сетевые накопители. Именно это показали образцы шифровальщиков BlackMatter и Babuk, обнаруженные в ходе нашего исследования.

Ботнеты

Устройства NAS являются идеальными целями для операторов ботнетов, поскольку после взлома устройство становится практически беззащитным: в большинстве случаев компрометация даёт злоумышленнику root-доступ к базовой операционной системе Linux. Поэтому мы видим, что многие из ботнетов, которые атакуют маршрутизаторы, камеры и другие IoT-устройства, заражают и NAS-устройства.

Один из нацеленных на NAS ботнетов — StealthWorker. Впервые его обнаружила компания MalwareBytes в 2019 году, когда он атаковал только Windows-компьютеры. Однако он быстро эволюционировал и добавил в список мишеней Linux-системы. В августе 2021 года компания Synology выпустила предупреждение о том, что зафиксировала брутфорс-атаки из этого ботнета на устройства Synology.

Мы смогли найти несколько образцов этой бот-сети и убедились, что новые версии способны перебором взломать и скомпрометировать серверы, на которых работают следующие продукты и системы:

Функция брутфорс-атаки на QNAP-устройства в StealthWorker.

Функция брутфорс-атаки на QNAP-устройства в StealthWorker.

Найденные достоверные учётные данные загружаются на управляющий сервер, обычно через порт 5028/tcp.

Процесс [stealth] подключён к активному серверу C&C (caaclothing[.]com/158[.]69[.]22[.]139).

Процесс [stealth] подключён к активному серверу C&C (caaclothing[.]com/158[.]69[.]22[.]139).

Криптомайнинг

Криптомошенники выбирают NAS-системы, оснащённые современными процессорами, которые используются для потоковой передачи данных, например, для воспроизведения фильмов с помощью Plex. Способность современных систем NAS запускать контейнерные сервисы показывает, что системы NAS предназначены не только для хранения резервных копий, но и в качестве домашних мини-серверов, на которых можно запускать всё что угодно: пакеты домашней автоматизации, платформы для чатов, инфраструктуру DNS и всё остальное, что только можно придумать.

Один из майнеров, нацеленных на пользователей накопителей QNAP — UnityMiner. Он состоит из четырёх компонентов:

Сценария установщика unity_install.sh, который загружает нужный пакет вредоносного ПО в соответствии с архитектурой устройства жертвы (Intel или ARM). Он также исправляет файл конфигурации майнера в зависимости от количества доступных процессоров.

Вредоносного cgi-сценария manaRequest.cgi, который вызывает исходный скрипт (теперь он называется manaRequests.cgi), но перенаправляет его вывод в файл. После этого он использует регулярное выражение для поиска информации об использовании процессора в файле, считывает ее, вычитает из нее 50 и заменяет ее, а затем возвращает содержимое пользователю. Таким образом, если пользователь проверит использование ЦП заражённого устройства на странице администрирования QNAP, он увидит 40%, даже если на самом деле оно составляет 90%.

Собственно майнера Monero XMRig, который считывает настройки из действительного конфигурационного файла config.json, загруженного и измененного сценарием установщика.

Целевые атаки

Помимо различных финансово мотивированных преступных группировок, борющихся за устройства NAS, существует также то, что мы понимаем как целевые атаки профессиональных хакерских группировок (APT). Хорошим примером является QSnatch (также известный как Derek) - семейство вредоносных программ, направленных только на устройства NAS от QNAP. Согласно отчёту Национального центра кибербезопасности (NCSC) и Агентства кибербезопасности и безопасности инфраструктуры (CISA) в середине июня 2020 года насчитывалось около 62 000 устройств QNAP NAS, зараженных QSnatch.

Это вредоносное ПО является очень продвинутой. В начале работы он отключает как встроенный антивирус ClamAV, поставляемый с QNAP, так и McAfee Antivirus, партнёрское решение по безопасности, которое можно приобрести в магазине QNAP.

Код Qsnatch для отключения защитных решений.

Код Qsnatch для отключения защитных решений.

Устройства QNAP поставляются с инструментом под названием MalwareRemover, который разработан и поддерживается самой компанией QNAP. Он поставляется в виде небольшого антивируса с несколькими десятками правил обнаружения. Одно из этих правил может обнаружить более ранние версии QSnatch, но вредоносная программа знает об этом, поэтому первым делом удаляет соответствующие правила MalwareRemover, чтобы остаться незамеченной.

QSnatch полностью реализован в виде shell-скриптов людьми, обладающими глубокими знаниями как Linux, так и устройств QNAP. Его функции включают:

Отключение защитных решений;

Очистку правил обнаружения QSnatch для инструмента MalwareRemover;

Кражу учётных данных путём установки поддельного веб-приложения для входа в систему;

Отключение обновления прошивки;

Использование собственного алгоритма генерации доменов (DGA) для C&C-сервера;

Загрузку и выполнение полезной нагрузки второго этапа с C&C-сервера;

Использование шифрования для всех сетевых коммуникаций;

Кражу пользовательских данных, включая пароли и многофакторную конфигурацию, если она включена в QNAP.

Хотя QSnatch написан на языке shell script, его образцы обычно компилируются в файлы Linux Executable and Linkable Format (ELF) с помощью инструмента shell script compiler (SHC). Это значительно усложняет анализ и делает всю кампанию более сложной для отслеживания.

Как защитить NAS?

Вот несколько рекомендаций, которые помогут защитить сетевые накопители от атак злоумышленников:

Не подключайте устройства NAS напрямую к интернету. Спрячьте его за межсетевым экраном, а для безопасного доступа используйте VPN.

Измените имя и пароль администратора по умолчанию, чтобы затруднить брутфорс-атаки.

Если устройство поддерживает такую возможность, включите двухфакторную аутентификацию, чтобы защититься не только от брутфорс-атак, но и от фишинга.

Удалите все неиспользуемые службы, чтобы снизить риск компрометации.

Регулярно обновляйте используемое ПО и прошивку устройства.

Воспользуйтесь рекомендациями по безопасности от производителя вашего сетевого хранилища.

Читайте также: