Synolocker 應對之道

[anti-both]

早 兩 天 在 Synology 的 forum,有 使 用 者 張 貼 出 被 駭 的 消 息 。隨 即 ,全 球 各 地 都 有 Synology 的 使 用 者 報 告 中 招 ,包 括 香 港 。下 面 是 事 件 的 相 關 連 結 。

http://forum.synology.com/enu/viewtopic.php?f=3&t=88716

http://forum.synology.com/enu/viewtopic.php?f=108&t=88770 (Synology Acknowledgement)

http://www.hkepc.com/forum/viewthread.php?tid=2109498&extra=page%3D1&page=1

http://www.ithome.com.tw/news/89871

筆 者 早 年 就 開 始 使 用 Synology 的 NAS 的 了 ,這 好 像 是 第 一 次 有 單 純 針 對 Synology 的 攻 擊 。現 在 攻 擊 的 漏 洞 未 明 ,Synology 官 方 又 未 有 回 應 ( 暫 時 只 有 acknowledgement,就 是 承 認 了 事 件 的 存 在 ),令 到 人 心 惶 惶 ,草 木 皆 兵 。

Synolocker 是 去 年 底 曾 肆 虐 的  CryptoLocker 的 一 種 變 化 ,它 們 統 稱 為 勒 索 軟 體 ( Ransomware )。勒 索 軟 體 進 入 你 的 系 統 之 後 ,就 會 用 很 強 力 的 加 密 方 法 加 密 你 電 腦 上 的 檔 案 ,如 果 沒 有 解 密 鑰 匙 ( 一 般 就 是 一 串 長 文 字 ),幾 乎 是 沒 有 可 能 解 密 ,導 致 資 料 流 失 。

去 年 底 的  CryptoLocker 是 針 對 Windows 攻 擊 ,主 要 通 過 Email 傳 播 ,但 Synolocker 的 攻 擊 對 象 運 行 的 卻 是 Linux 系 統 。所 以 它 們 的 行 為 雖 然 相 似 ,但 應 該 是 使 用 完 全 不 同 的 漏 洞 來 攻 擊 的 。

由 於 漏 洞 未 明 ,未 有 官 方 的 解 決 之 法 ,網 上 各 大 討 論 區 自 然 就 流 傳 甚 多 「說 法 」,筆 者 早 年 就 有 討 論 過 如 何 自 己 加 強 Synology 的 保 安 ,所 以 我 們 就 藉 此 討 論 下 這 些 說 法 ,和 再 重 溫 一 下 Synology 的 保 安 吧 。

首 先 ,如 果 你 已 經 中 招 ,那 對 不 起 ,筆 者 也 不 是 電 腦 保 安 的 專 家 ,幫 不 了 你 。但 根 據 現 有 的 數 學 定 理 ,就 算 Synology 將 來 堵 塞 了 保 安 漏 洞 ,要 解 密 已 經 加 密 了 的 檔 案 ,也 應 該 接 近 沒 有 可 能 ( 除 非 全 部 受 害 者 都 是 用 同 一 條 Key 去 解 密 ,但 應 該 沒 有 這 麼 兒 戲 吧 ,哈 哈 )。要 不 要 付 款 解 密 ( 約 三 百 美 元 ),見 仁 見 智 ,筆 者 也 不 知 道 。

但 如 果 未 中 招 的 ,那 就 有 很 多 東 西 要 考 慮 了 。最 多 人 首 先 的 疑 問 是 ,是 不 是 沒 有 更 新 DSM ( Synology 的 firmware )才 中 招 ?暫 時 的 答 案 是 不 知 道 ,但 據 說 已 經 有 使 用 者 自 稱 中 招 的 Synology 是 運 行 DSM 5.0 的 。所 以 就 算 是 升 級 到 最 新 的 DSM,似 乎 暫 時 還 是 不 能 掉 以 輕 心 。

其 次 多 人 問 的 ,是 究 竟 中 了 招 的 人 開 放 了 多 少 port 上 互 聯 網 ( port forwarding )?很 多 人 都 開 了 很 多 port,但 亦 有 個 別 使 用 者 報 告 說 只 開 了 port 22 亦 中 招 。這 是 不 是 說 關 了 port 22 就 一 勞 永 逸 呢 ?但 現 在 亦 未 肯 定 攻 擊 是 沿 自 某 個 port 的 漏 洞 ,所 以 這 種 說 法 還 是 不 能 成 立 。

但 當 然 ,筆 者 一 向 建 議 大 家 ,不 需 要 的 port 就 不 要 open。現 在 這 種 時 勢 ,就 算 「有 需 要 」的 port,筆 者 也 建 議 大 家 現 在 立 即 再 評 估 一 下 那 個 必 要 性 。也 不 是 說 要 永 久 要 閉 關 所 有 port,但 大 家 為 什 麼 不 先 關 閉 一 星 期 ,直 到 事 情 水 落 石 出 才 再 很 決 定 要 重 開 什 麼 port 呢 ?

再 其 次 多 人 說 的 ,就 是 駭 客 是 盜 取 了 使 用 者 的 admin 帳 戶 ,才 能 登 入 synology 並 加 密 了 使 用 者 的 檔 案 。所 以 亦 有 建 議 叫 大 家 停 用 admin 帳 戶 和 更 改 密 碼 。這 一 點 現 在 也 未 能 證 實 ,但 可 能 性 頗 高 。筆 者 一 向 建 議 大 家 所 有 帳 戶 都 應 該 使 用 強 密 碼 ,也 一 向 建 議 大 家 開 啟 auto block 功 能 。

很 多 人 也 建 議 大 家 開 啟 防 火 牆 ,這 是 很 正 確 的 。但 大 家 要 留 意 ,現 時 網 上 看 到 的 rules,都 只 是 比 較 general 的 rules,並 不 是 特 別 針 對 是 次 攻 擊 的 rules ( 因 為 還 沒 有 證 明 是 如 何 攻 擊 的 )。

也 有 人 建 議 先 不 要 用 QuickConnect,筆 者 覺 得 關 上 當 然 更 安 全 。

也 有 很 多 建 議 停 用 port 5000 的 管 理 介 面 ,改 用 有 加 密 的 port 5001 的 管 理 介 面 。筆 者 是 不 反 對 這 種 建 議 的 。

不 過 筆 者 仍 然 認 為 改 用 VPN,盡 可 能 不 開 放 任 何 port 到 Internet 才 是 比 較 安 心 之 道 。現 在 一 台 VPN router 也 不 用 一 千 港 元 ( 比 什 麼 AC router 要 使 宜 多 了 ),所 以 筆 者 更 是 建 議 大 家 不 要 使 用 Synology 的 VPN,而 使 用 獨 立 的 VPN router。這 樣 分 開 兩 台 裝 置 ,要 攻 擊 你 就 更 加 困 難 了 。

不 過 ,由 於 未 知 道 駭 客 攻 擊 的 方 法 ,所 以 以 上 所 有 的 「方 法 」,都 只 是 盡 量 降 低 受 駭 的 風 險 而 已 ( 例 如 為 什 麼 就 不 可 能 是 先 攻 陷 了 LAN 的 電 腦 ,再 由 LAN 的 電 腦 去 攻 擊 Synology ?上 面 的 對 策 很 多 都 只 是 防 止 從 互 聯 網 發 動 的 攻 擊 )。

除 了 預 防 攻 擊 之 外 ,資 料 備 份 在 這 種 時 間 就 顯 得 更 為 重 要 了 。備 份 很 多 人 都 知 道 ,但 可 惜 大 部 分 人 都 是 只 設 定 了 定 時 備 份 就 算 ,卻 並 不 了 解 不 同 備 份 方 法 也 存 在 不 同 的 風 險 。因 為 這 一 次 的 攻 擊 是 針 對 每 一 個 獨 立 的 檔 案 ,所 以 如 果 你 一 不 留 神 ,加 密 了 的 檔 案 在 備 份 時 就 會 覆 蓋 了 原 來 沒 有 加 密 的 檔 案 了 。網 上 亦 有 很 多 中 招 的 使 用 者 表 示 ,備 份 亦 是 被 加 密 了 的 。

所 以 大 家 要 特 別 留 心 ,一 般 的 unattended daily schedule backup,對 這 一 次 的 攻 擊 未 必 有 什 麼 保 障 !筆 者 昨 天 就 針 對 自 己 的 特 級 重 要 資 料 ( 某 類 自 拍 乎 ?!XDDD ),額 外 進 行 了 獨 立 的 離 線 備 份 ( 通 過 USB 備 份 後 再 插 除 連 線 )。就 是 除 了 每 天 定 時 的 remote backup 之 外 ,再 另 外 增 加 了 一 份 固 定 的 ,不 會 每 天 改 變 的 backup。其 實 你 不 一 定 要 特 別 備 份 整 台 Synology,就 像 筆 者 只 備 份 特 別 重 要 的 檔 案 就 是 了 。又 或 者 說 ,先 離 線 備 份 了 特 別 重 要 的 檔 案 ,再 有 空 才 備 份 其 他 資 料 吧 。

希 望 Synology 能 盡 快 有 公 佈 吧 。

2014-08-06 更 新 :
昨 晚 Synology 的 公 告 有 更 新 ,大 意 是 說 他 們 暫 時 的 發 現 是 只 有 運 行 DSM 4.3-3810 或 更 早 的 Synology 才 受 影 響 ,建 議 未 中 招 的 人 士 盡 快 升 級 。但 這 只 是 暫 時 性 的 公 告 ,大 家 在 水 落 石 出 之 前 還 是 要 注 意 保 安 啊 。

For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:
-For DSM 4.3, please install DSM 4.3-3827 or later
-For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
-For DSM 4.0, please install DSM 4.0-2259 or later

2014-08-07 更 新 :
Synology 的 官 方 公 佈
http://www.synology.com/en-global/company/news/article/472

另 外 ,亦 有 非 常 專 業 的 電 腦 保 安 公 司 ,推 出 了 www.decryptcryptolocker.com 的 免 費 解 密 服 務 ( FireEye and Fox IT )。雖 然 那 是 針 對  CryptoLocker,但 如 果 兩 者 是 使 用 相 同 的 加 密 方 法 ,解 密 方 法 可 能 有 效 ,中 招 的 朋 友 不 防 一 試 。
http://www.fireeye.com/blog/corporate/2014/08/your-locker-of-information-for-cryptolocker-decryption.html

ctleung張先生,男性,肖龍。
職業:I.T. Consultant
簡介:不好好讀書;七尺差五寸,手長過膝,雙耳垂肩;性寬和,寡言語,喜怒不形於色。據說少時曾斬白蛇於鳳凰山下……

This entry was posted in Computer & Network and tagged , , , , , , . Bookmark the permalink.

2 Responses to Synolocker 應對之道

  1. stanley lau says:

    梁先生,先多謝你對 synology 被攻擊的一事件快速地提供寶貴的意見,因為我也是產品的用家。就你的內文中提到使用 VPN router 比 NAS 內附的 VPN 功能更可靠,是否說明 VPN router 的設定和各方面都比 NAS 的 VPN 更強,不同牌子組合的 VPN router 結合 NAS 使攻擊難度增加,對嗎?另外可否提供 VPN router + NAS 的組合設定、注意的事項、謝謝!

    • C.T. Leung says:

      好多野,你明就係明,唔明就係唔明。例如我唔肯定我係唔係姓梁,但我百分百確定我唔係梁先生…..

      閣下那些「更可靠、更強、更勁」之類言詞,我實在唔係好清楚你想表達 D 乜。如果你的要求係「更強更勁」的話,我估你 dump 些少錢落去做保安就可以加強你的虛榮心了。

      如果你「真係想學下點樣加強電腦保安」,就認認真真去學吧。隨口問一些疑似相關但係確實無關的問題,這是吹水,不是求學…..

Leave a Reply

Your email address will not be published. Required fields are marked *