Synolocker trójai

CH azonosító

CH-11508

Angol cím

Trojan.Synolocker

Felfedezés dátuma

2014.08.06.

Súlyosság

Alacsony

Érintett rendszerek

N/A

Érintett verziók

NAS eszközök

Összefoglaló

Ez a trójai elsősorban NAS-okat (Network Attached Storage ) támad. A trójai egy saját webszervert telepít fel a NAS-okra, és ezáltal lecseréli a gyári webkiszolgálót. Ennek hatására, amikor az eszköz tulajdonosa próbálja megnyitni az adminisztrációs oldalt, akkor egy RSA privát kulcs bekérésére szolgáló webes felület jelenik meg. Amennyiben itt a megfelelő kulcs kerül megadásra, akkor a trójai dekódolja a kompromittált fájlokat, és eltávolítja a saját állományait. Ez a módszer lehetőséget ad a csalók számára, hogy megzsarolják a felhasználókat és pénzt követeljenek a privát kulcsért.

 

Leírás

Technikai részletek:

1. Létrehozza a következő állományokat:

/tmp/.SYNO_SERVER_LOCK

/tmp/.SYNO_ENCRYPT_LOCK

/tmp/.SYNO_DECRYPT_LOCK

/etc/synolock/

/etc/synolock/.decrypt

/etc/synolock/.restore

/etc/synolock/watch.sh

/etc/synolock/synosync

/etc/synolock/uninstall.sh

/etc/synolock/RSA_PUBLIC_KEY

/etc/synolock/RSA_PRIVATE_KEY

/usr/syno/synoman/redirect.html

/usr/syno/synoman/lock.png

/usr/syno/synoman/style.css

/usr/syno/synoman/synolockcode.txt

/usr/syno/synoman/crypted.log

/usr/syno/synoman/decrypted.log

/usr/syno/etc.defaults/rc.d/S99boot.sh

/usr/syno/etc.defaults/rc.d/S99check.sh

2. Manipulálja az alábbi fájlt:

/usr/syno/synoman/index.html 

3. Egy előre meghatározott, fájlkiterjesztéseket tartalmazó lista alapján állományokat keres.

4. A feltárt fájlokat letitkosítja.

5. Elindít egy HTTP-szervert a 80-as porton keresztül. Ezzel “lecseréli” a NAS gyári HTTP-kiszolgálóját.

6. Amikor az eszköz tulajdonosa, üzemeltetője meg akarja tekinteni az adminisztrátori oldalt, akkor egy trójai által generált üzenet jelenik meg:

“Automated Decryption Service. Copy and paste a valid RSA private key in the following form below.”

7. Helyes privát kulcs megadása esetén a trójai elvégzi a dekódolást, és eltávolítja a fájljait a NAS-ról.


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »