Kaip apsiginti nuo „Deadbolt Ransomware“ atakų NAS įrenginiuose


Greitas ir paprastas tinklo įrenginio įdiegimas retai yra geras būdas valdyti riziką. Populiarių tinklo saugojimo įrenginių vartotojai supranta, kad suteikti tiesioginę interneto prieigą prie jų įslaptintos informacijos, reikalingos verslui, niekada nėra gera idėja, kaip puikiai įrodo Deadbolt.

„Deadbolt“, išpirkos reikalaujančios programos iteracija, pasirodžiusi 2022 m. sausio mėn., pirmiausia skirta Taivano bendrovės QNAP (Quality Network Appliance Provider) NAS produktams, greičiausiai todėl, kad ji turi apie 53% rinkos dalies tikslinių sistemų. Nors IŠSIGDOMAS NAS įrenginiai taip pat buvo užpulti, šiame straipsnyje pagrindinis dėmesys skiriamas pagrindiniam taikiniui.

Nors tai apžvelgiamas konkretus apgultų įrenginių rinkinys, čia apžvelgiame svarbių informacijos išteklių, įskaitant IoT ir IIoT įrenginius, diegimo pamokas.

Žiūrėti daugiau: Kaip apsiginti nuo Ryuk Ransomware naujų į kirminus panašių galimybių

Kas yra QNAP NAS?

QNAP NAS (Network Attached Storage) įrenginiai, skirti mažiems / namų biurams, mažoms įmonėms ir kai kurioms vidutinėms įmonėms, yra palyginti nebrangūs, lengvai nustatomi ir dažnai lengvai pasiekiami grėsmės veikėjams. Nors saugyklos tinkluose (SAN) yra organizacijos duomenų bazės, NAS saugykloje yra „Word“ dokumentų, „Excel“ skaičiuoklių ir kitų failų, kuriuose saugomi kelių klasifikacijų duomenys.

QNAP TS-664 (QNAP.com)

Paulius Ducklinas rašo kad šios NAS dėžutės yra „… miniatiūriniai, iš anksto sukonfigūruoti serveriai, dažniausiai veikiantys „Linux“. Mažai ar namų verslui, diegiančiam QNAP NAS, klientas tiesiog prijungia jį prie savo maršruto parinktuvo, o UPnP užtikrina lengvą ryšį ir pasiekiamumą. Didesnėms organizacijoms gali prireikti sudėtingesnės laidinės prieigos konfigūracijos, tačiau šis greitas ir paprastas diegimo būdas gali būti paprastas būdas gauti pradinę interneto prieigą prie NAS įrenginių.

Išoriniai UPnP iššūkiai

UPnP, daugelio saugumo specialistų ir grėsmių veikėjų taip pat žinomas kaip universalus PWN and play, yra protokolų rinkinys, leidžiantis bet kuriam tinklo įrenginiui aptikti bet kurį kitą įrenginį, leidžiantį užmegzti seansus su tais įrenginiais be jokios būdingos autentifikavimo galimybės.

Iš pradžių UPnP tikslas buvo suteikti namų ir namų biuro vartotojams paprastą būdą prijungti naujus įrenginius prie vidinių tinklų. Jis niekada nebuvo skirtas naudoti įmonės tinklo aplinkoje ir niekada neturėjo būti naudojamas nuotolinei prieigai įgalinti.

QNAP NAS įrenginius lengva nustatyti, nes tinklo maršruto parinktyje ir prijungtuose įrenginiuose yra įjungtas UPnP. Maršrutizatorius naudoja UPnP, kad nustatytų galimus įrenginius, kuriuose įgalintas UPnP, ir pridėtų juos prie savo uosto persiuntimas pajėgumus. Svarbus dalykas, kurį reikia atsiminti; jei grėsmės veikėjas gali kalbėtis su įrenginiu per UPnP, jis gali naudoti visas nustatytas paslaugas arba iš naujo konfigūruoti įrenginio nustatymus.

Kai įrenginys yra žinomas maršrutizatoriui, maršrutizatorius sukonfigūruoja prievadų atvaizdavimą įrenginio siūlomoms paslaugoms. Kai UPnP prievado persiuntimas įgalintas belaidžiame kelvedžiuje, kaip parodyta 2 paveiksle, bet koks išorinis subjektas, siunčiantis seanso užklausą į viešą maršrutizatoriaus sąsają, kurio prievado numeris yra 55536, persiunčiamas į QNAP NAS 192.168.1.32. Tiesą sakant, NAS yra tiesiogiai prijungtas prie interneto, kartu su bet kokia žinoma ar nežinoma klaidinga konfigūracija ir kodavimo pažeidžiamumas.

Žiūrėti daugiau: Kodėl „RagnarLocker“ tebėra didelė grėsmė kritinei infrastruktūrai

QNAP ataka

Kai grėsmės subjektai gauna prieigą prie QNAP įrenginio, jie naudojasi nuolatine programine įranga ir paslaugų pažeidžiamumu, kad įdiegtų ir vykdytų išpirkos reikalaujančių programų paketą. Per pastaruosius metus jie naudojo įvairius pažeidžiamumus, kuriuos QNAP greitai pataisė. Paskutinėje rugsėjo 22 d. atakoje buvo panaudotas nežinomas Photo Station pažeidžiamumas, kurį QNAP ištaisė maždaug per 12 valandų.

Problema yra ne tik UPnP. Tai taip pat taikoma praktikai, kai vidinio tinklo įrenginiai bet kokiu būdu pasiekiami viešajame internete.

Stephenas Hiltas, Éireann Leverett ir Fernando Mercês iš Trend Micro suteikti gerą pasivaikščiojimą apie tai, kaip Deadbolt užkrėtė pažeidžiamus QNAP įrenginius 2022 m. birželio mėn. Atakos kelias buvo toks pat ir rugsėjį, naudojant kitą programinės įrangos pažeidžiamumą. Hilt ir kt. pateikti šį didelio aukščio vaizdą:

  • „Deadbolt“ naudoja konfigūracijos failą, kuris dinamiškai parenka konkrečius nustatymus pagal tiekėją, kuriam jis taikomas, todėl jis puikiai pritaikomas naujoms kelių tiekėjų kampanijoms.
  • Grėsmės veikėjai naudojo du mokėjimo būdus; auka moka už iššifravimo raktą arba NAS pardavėjas moka už pagrindinį iššifravimo raktą – pagrindinį raktą, kuris tariamai iššifruoja visus paveiktus klientų NAS įrenginius. Iki šiol nei QNAP, nei ASUSTOR neįsigijo pagrindinio rakto, kurio kaina viršija 1 mln.
  • Atskiro kliento įrenginio iššifravimo raktas yra apie 1200 USD, o išpirką nusprendė sumokėti mažiau nei 10% aukų.

Yra įdomus gija „Reddit“. kuriame paveikti vartotojai aptaria, kaip jie sumokėjo už 2022 m. birželio mėn. atakos raktus ir kaip tai veikė. Taip pat akivaizdu, kad vienas iš QNAP pataisymų jų sistemose sulaužė iššifravimo raktų, pateiktų po birželio mėnesio mokėjimų, naudojimą. Tačiau QNAP siūlo išsamias instrukcijas kaip išspręsti šią problemą, instrukcijas, kurios nėra skirtos neišmanantiems. Rugsėjo mėnesio atakų raktai gali būti paveikti.

Žaidžia gynybą

Gynyba prasideda nuo saugojimo įrenginių nepateikimo viešam internetui. Tai yra esminis saugumo reikalavimas, apie kurį dauguma vartotojų nežino, arba, jei žino, nežino, kad perimetro sienoje atidarė skylę. QNAP paslaugų atveju QNAP teikia saugius konfigūracijos patarimus, įskaitant prievado persiuntimo išjungimą. Tačiau klientai turi norėti atkreipti dėmesį į pardavėjo saugumo patarimus.

QNAP teikia debesies paslaugą, myQNAPcloudkuris suteikia saugus būdas pasiekti savo NAS sprendimus, įskaitant paprastą būdą sukonfigūruoti maršrutizatorius išorinei prieigai, mažiausiai privilegijų valdymą ir kelių veiksnių autentifikavimą. Saugiausias šios konfigūracijos elementas yra tiesioginės viešosios interneto prieigos pašalinimas iš visų kliento NAS įrenginių.

„myQNAPcloud“ nustatymas yra esminis QNAP rekomenduojamo NAS prieigos apsaugos metodo elementas:

  1. Išjungti prievado persiuntimą maršrutizatoriuje
  2. NAS nustatykite myQNAPcloud, kad užtikrintumėte saugią nuotolinę prieigą ir išvengtumėte viešo interneto poveikio
  3. Atnaujinkite NAS programinę-aparatinę įrangą į naujausią versiją [while ensuring reasonable and appropriate supply chain risk management]
  4. Atnaujinkite visas NAS programas į naujausias versijas
  5. Taikykite tvirtą autentifikavimą visoms NAS naudotojų paskyroms
  6. Darykite momentines nuotraukas ir reguliariai kurkite atsargines kopijas, kad apsaugotumėte savo duomenis

Kita apsaugos priemonė, kurią norėčiau įtraukti į šį sąrašą, yra numatytųjų NAS paslaugų prievadų numerių keitimas. Tai reikšmingai nesumažins rizikos, tačiau tai padaryti nesunku, o grėsmės veikėjo pastangos sukels nusivylimą.

Paskutinės mintys

Tai istorija apie tai, kas nutinka, kai saugykla tampa prieinama tiesiogiai viešajam internetui naudojant didelės rizikos metodą, pvz., prievado peradresavimą. Prievado persiuntimas turi vertę, tačiau jis niekada neturėtų leisti tiesioginės prieigos prie duomenų.

Organizacijos ir asmenys visada turėtų turėti apsaugos lygmenį tarp duomenų saugyklos ir tų, kurie nori ją pasiekti, tiek iš vidinio tinklo, tiek nuotoliniu būdu. Geriausias būdas sukurti šį sluoksnį yra programos, kurios užtikrina mažiausiai privilegijų, tvirtą autentifikavimą, registravimą ir stebėjimą. Jei NAS ar kitas saugyklos teikėjas tokį turi, naudokite jį. Jei ne, sukurkite vieną. Jei nė vienas iš šių variantų nėra, ieškokite kito pardavėjo.

Praneškite mums, jei jums patiko skaityti šį straipsnį LinkedIn, Twitterarba Facebook. Mes norėtume išgirsti iš jūsų!

Vaizdo šaltinis: Shutterstock

DAUGIAU APIE NAS ĮRENGINIUS