警惕！群晖发布预警，称有勒索软件正在爆破NAS

附加网络存储设备制造商群晖科技股份公司日前发布安全预警称，有恶意软件正在尝试通过弱口令进行爆破感染。

若成功感染则该恶意软件会在Synology DSM系统上部署勒索软件，将用户所有文件加密后对用户进行财务勒索。

群晖产品安全事件响应团队表示这些被感染的设备还会作为节点，继续向更多设备发起攻击进而危害更多使用者。

但这些并非群晖产品存在安全问题，最主要的原因是用户使用默认管理员账户和弱密码并且服务器暴露在公网上。

以下是安全建议：

以下为蓝点网以日常使用经验结合群晖官方安全预警提出的建议，如果您使用群晖品牌的网络设备可以进行参考。

1.不要使用系统默认的admin账户：admin账户为DSM内置的但未启用，请用户使用自定义名称不要使用admin

2.为账户开启多因素认证：群晖系统已经支持多因素认证即两步验证，如果您的设备暴露在公网上务必开启验证。

3.如无必要不暴露在公网：除非您需要在公网使用 , 否则请关闭群晖QC连接或DDNS类动态解析避免暴露在公网。

4.为账户创建高强度密码：此次勒索软件主要使用弱口令进行爆破，若用户使用高强度密码通常不会被成功爆破。

5.防火墙开启登录错误拦截：例如在几分钟内登录错误超过几次就自动锁定IP 地址，可以有效防止各类爆破脚本。

6.将群晖DSM系统设置为自动更新，这样可以及时接收群晖发布的安全更新 , 避免因为漏洞问题导致系统被入侵。

名为StealthWorker的爆破机器人：

群晖未透露此次勒索软件的详细信息，但从名称可在网上找到信息，这是个针对Windows和Linux的爆破机器人。

其背后的黑客团伙会收集网上常见的设备默认账户与密码以及各类弱密码组成词典，然后在全网进行探测和攻击。

这倒不是特别有技术含量的攻击手段，然而毕竟全球用户足够多因此肯定有不少用户使用弱密码因此被成功爆破。

分析显示该勒索软件感染后还会创建计划任务获得持久性，随后将被感染设备当做节点继续探测攻击其他设备等。

另外有消息表明去年针对威联通NAS发起的大规模攻击也是这款恶意软件 , 攻击手法方面也都是靠蛮力进行爆破。