[시놀로지 DS220j] admin 계정 무차별 대입 공격 차단

0. 공격 확인

  최근 NAS 로그를 보니 다수의 IP주소에서 admin 계정으로 DSM 로그인 시도가 있는 것을 발견했다. 어차피 admin 계정은 비활성화시켜 놓았고, 로그인 가능한 계정도 2-factor 인증을 설정해놔서 영향력은 없지만 이렇게 쓸데없이 많은 로그가 지속적으로 찍히니 보기에도 좋지 않고, 정상 관리자 로그인 로그를 보기가 힘들어진다.

 

admin 계정 무차별 대입 공격 로그

 

1. 공격지

  흥미롭게도 다수의 공격지 IP주소는 모두 Synology NAS였다. 아마 동일한 admin 계정 무작위 대입 공격으로 감염되어 좀비화된 서버라고 추정된다.

 

공격지 중 한 NAS

 

2. 공격지 차단

  Synology는 DSM에 특정 시간 동안 특정 횟수 이상 로그인 시도가 있을 경우 자동 차단 기능을 제공한다. 그러나 이 공격은 한 IP주소에서 하루에 1~5회 정도로 로그인을 시도하기 때문에 자동 차단이 안 된다.

 

동일 IP주소에서 로그인 시도 이력

 

  그렇기 때문에 공격 IP주소에 대해 수동 차단이 필요하다.

  먼저 연결 로그를 '내보내기 > CSV' 메뉴를 통해 로그를 파일로 저장하고, admin 문자열이 있는 이벤트만 엑셀 등으로 필터링하여 IP주소만 추출하여 txt 파일로 저장한다.

  만약 admin 계정을 사용중이라면, 정상 이벤트 IP주소가 포함되지 않도록 주의해야한다.

 

연결 로그 CSV 내보내기

 

추출한 공격자 IP주소

 

  이제 이 IP주소들을 차단하기 위해 '제어판 > 보안 > 보호 탭 > 허용/차단 목록' 메뉴를 클릭한다.

 

제어판 > 보안 > 보호 탭 > 허용/차단 목록

 

  허용/차단 목록 창이 뜨면 '차단 목록 > 생성 오른쪽 ▼ > IP주소 목록 가져오기' 메뉴를 클릭한다.

 

IP 주소 목록 가져오기

  IP 주소 목록 가져오기 창이 뜨면, 찾아보기로 아까 저장한 IP주소 목록 파일을 선택한다. 그러면 차단할 IP주소 목록이 추가된다. 확인을 누르고, 제어판 창에서 적용을 누르면 설정이 저장된다.

  이후 로그 센터를 보면 쓸데없는 로그인 시도 로그가 찍히지 않는 것을 볼 수 있다.