一次群晖中勒索病毒后的应急响应

云彩

群晖是一种NAS（网络附属存储）系统，在生活中主要扮演个人私有云角色，可以将文件存储于 NAS，并通过网页浏览器或手机应用程序可实现存储和共享，同时还提供的丰富应用以方便管理应用。借助群晖提供的 QuickConnect 快连服务，无需随身携带存储设备，即可以随时随地访问NAS。因为这些优点，群晖往往被当做是NAS的首选。
但偏偏这次被上勒索病毒了，通过资料查询发现该病毒早在2019年安全专家就已经分析过并已提供预警信息，一旦感染，其中的文件都会被加密，并通过留下的文件索要比特币。经过初步判断是通过web界面的弱口令进去的，之后创建了一个定时任务从美国某个IP下载文件来执行命令，并通过勒索病毒对文件进行了加密且暂时未发现该病毒有横向行动。本文主要记录群晖中勒索病毒后的应急响应过程。

攻击流程

（一）获取攻击目标
目标地址为http://x.x.x.x:5000，根据资料查询群晖的默认端口就是5000和5001，那么黑客应该是有针对性地通过批量扫描对公网上的IP地址的5000以及5001端口进行检测，如果扫描到为群晖系统，那么就记录下来保存结果

（二）实施弱口令爆破
通过工具对目标站点的默认管理账号admin进行爆破，通过admin/123456爆破进入群晖NAS系统，并且黑客采取了动态切换代理IP的方式来提升我们的溯源难度。
（三）植入勒索病毒
以admin登录后便植入了勒索病毒，加密硬盘数据（文件类型为encrypt）并留下了比特币支付地址。