QSnatch

Je známo, že hrozba malwaru označovaná jako QSnatch je zaměřena na zařízení NAS (Network-Attached Storage) vyráběná tchaj-wanem QNAP Systems, Inc. Malwaroví výzkumníci v finském Národním středisku kybernetické bezpečnosti (NCSC-FI) byli prvními, kdo zaznamenali aktivitu tohoto zařízení nová hrozba v polovině října 2019. Podrobná analýza automatických zpráv poskytovaných proprietární službou Autoreporter střediska jim umožnila odhalit řadu úložišť infikovaných QSnatch, kteří se pokoušejí navázat komunikaci se vzdálenými servery C&C (Command & Control). Ačkoli finští odborníci původně věřili, že se zabývají malwarem Caphaw přizpůsobeným MS Windows, důkladná kontrola komunikace C2 odhalila, že prvořadými cíli malwaru jsou zařízení NAS NAS QNAP. Společnost QNAP Systems, Inc. od té doby vydala aktualizace firmwaru zaměřené na neutralizaci QSnatch ze všech infikovaných zařízení.

Potenciál poškození QSnatch

Vědci musí ještě určit infekční vektory (IVs) rozmístěné podvodníky zodpovědnými za šíření QSnatch mezi hardwarem QNAP. Vědí však, že QSnatch zasílá svůj škodlivý kód přímo do firmwaru hostitelského zařízení a poté jej spouští jako legitimní proces v QTS, operačním systému přizpůsobeném NAS NAS. Po spuštění se QSnatch pokusí navázat spojení se vzdálenými servery C&C pravděpodobně provozovanými stejnými kybernetickými podvodníky. Pokud bude úspěšné, umožní takové připojení QSnatch načíst další malware do infikovaného zařízení pomocí „HTTP GET https: // /qnap_firmware.xml?=t "žádost.

Jakmile je to dokončeno, malware QSnatch bude schopen způsobit rozruch v ohroženém hostiteli. V závislosti na škodlivých modulech, které jsou aktuálně načteny ze serveru C2 (s větší pravděpodobností přichází kvůli modulární kapacitě QSnatch), může být QSnatch schopen:

• Zabránění aplikacím a firmwaru v provádění aktualizací, protože by to mohlo narušit jeho škodlivé chování.
• Zakázání aplikace QNAP MalwareRemover, pokud uživatelé nainstalovali tento program do svých počítačů.
• Přináší nový malware ze serveru C&C útočníků.
• Změna aktivních časových plánovačů úloh (cronjobs) a init souborů (inicializační skripty, které se provádějí pro spuštění nezbytných procesů jako součást spouštěcího procesu).
• Získání všech přihlašovacích údajů a systémových konfiguračních souborů přítomných na infikovaném hostiteli a jejich přenesení na server C&C jeho operátorů.

Odebrat QSnatch z infikovaného zařízení

V reakci na počáteční zprávy z 25. října 2019 o útoku malwaru QSnatch, QNAP Systems rychle poskytla živou aktualizaci firmwaru pro samotný QTS OS přístupný z nabídky QTS Control Panel. Prodejce také vydal aktualizaci pro aplikaci Malware Remover, která je k dispozici v centru aplikací QTS. Zatímco tyto nové verze Malware Remover - 3.5.4.2 a 4.5.4.2, v tomto pořadí - by měly stačit k odstranění QSnatch z infikovaných zařízení, uživatelé by také měli změnit své již ohrožené přihlašovací údaje, aby se vyhnuli opakované detekci. V neposlední řadě společnost QNAP vyzvala zákazníky, aby nainstalovali aplikaci QTS Security Counsellor (také nalezenou v QTS App Center), aby zvýšili zabezpečení sítě svých zařízení NAS na vyšší úroveň.

Kromě výše uvedených kroků se uživatelé NAS mohou a měli by uchýlit k řadě akcí na ochranu svých zařízení před budoucími útoky, mimo jiné včetně:

• Vyhýbejte se výchozím číslům portů - 8080/81, 443, 80 a 22, abychom jmenovali jen několik
• Aktivace ochrany IP proti pokusům s brutální silou
• Odstranění neaktivních účtů, podezřelých aplikací a nepoužívaných aplikací / služeb (webový server, SQL Server, SSH, Telnet atd.)

Další pokyny, jak implementovat výše uvedená opatření, naleznete v bezpečnostním poradci systému QNAP, který je určen speciálně pro QSnatch Malware.