QSnatch

qsnatch En malware-trussel, der kaldes QSnatch, er kendt for at målrette NAS (Network-Attached Storage) enheder, der er produceret af de Taiwan-baserede QNAP Systems, Inc. Malware-forskere ved Finlands National Cyber Security Center (NCSC-FI) var de første til at få øje på aktiviteten i dette ny trussel i midten af oktober 2019. En detaljeret analyse af de automatiske rapporter leveret af centrets proprietære Autoreporter-service gjorde det muligt for dem at udsætte et antal QSnatch-inficerede lagerenheder, der forsøger at etablere kommunikation med eksterne C&C (Command & Control) servere. Selvom de finske eksperter oprindeligt troede, at de havde at gøre med MS Windows-skræddersyet Caphaw-malware, afslørede en grundig inspektion af C2-kommunikationen, at malware's primære mål var QNAP NAS-enheder i stedet. QNAP Systems, Inc. har siden udstedt firmwareopdateringer med det formål at neutralisere QSnatch fra alle dets inficerede enheder.

QSnatch skadespotentiale

Forskere har endnu ikke bestemt de infektionsvektorer (IV'er), der er indsat af de skurke, der har ansvaret for at sprede QSnatch blandt QNAPs hardware. Hvad de imidlertid ved, er, at QSnatch planter sin ondsindede kode direkte i firmwaren på værtsenheden og derefter kører den som en legitim proces i QTS, QNAPs NAS-skræddersyede operativsystem. Når QSnatch er kørt, forsøger den at etablere en forbindelse med eksterne C & C-servere, der antagelig drives af de samme cyber-skurke. Hvis det lykkes, vil en sådan forbindelse give QSnatch mulighed for at hente yderligere malware på den inficerede enhed gennem "HTTP GET https: // /qnap_firmware.xml?=t " anmodning.

Når dette er afsluttet, vil QSnatch malware være i stand til at give anledning til en anseelse i den kompromitterede vært. Afhængig af det eller de ondsindede moduler, der i øjeblikket er hentet fra C2-serveren (med mere potentielt at komme på grund af QSnatchs modulære kapacitet), kan QSnatch muligvis:

  • Forhindring af applikationer og firmware fra at anvende opdateringer, da dette kan manipulere med dets ondsindede opførsel.
  • Deaktivering af programmet QNAP MalwareRemover, hvis brugerne har installeret dette program på deres pc'er.
  • Henter ny malware fra angriberenes C & C-server.
  • Ændring af aktive tidsbaserede jobplanlægere (cronjobs) og init-filer (initialiseringsskripts, der udføres for at starte nødvendige processer som en del af startprocessen).
  • Høstes alle loginoplysninger og systemkonfigurationsfiler, der findes på den inficerede vært, og overfører dem til C & C-serveren for dets operatører.

Fjern QSnatch fra en inficeret enhed

Som svar på de indledende oktober 25 2019 rapporter om QSnatch malware-angreb leverede QNAP Systems hurtigt en live firmwareopdatering til selve QTS OS tilgængeligt fra QTS Kontrolpanel menu. Sælgeren udsendte også en opdatering til sin Malware Remover-app, der er tilgængelig fra QTS's App-center. Selvom de nye versioner af henholdsvis Malware Remover - henholdsvis 3.5.4.2 og 4.5.4.2 - skal være tilstrækkelige til at fjerne QSnatch fra inficerede enheder, skal brugerne også ændre deres allerede kompromitterede loginoplysninger for at undgå geninfektion. Sidst men ikke mindst har QNAP opfordret kunderne til at installere QTS Security Counselor-appen (også findes i QTS App Center) for at bringe netværkssikkerheden på deres NAS-enheder til et højere niveau.

Ud over de ovennævnte trin kan og bør NAS-brugere anvende en række handlinger for at beskytte deres enheder mod fremtidige angreb, herunder, men ikke begrænset til:

  • Undgå standardportnumre - 8080/81, 443, 80 og 22 for kun at nævne nogle få
  • Aktivering af IP-beskyttelse mod forsøg på brute-force
  • Sletning af inaktive konti, mistænkelige apps og ubrugte apps / tjenester (Webserver, SQL Server, SSH, Telnet osv.)

Yderligere vejledning i, hvordan man implementerer de ovenfor beskrevne foranstaltninger kan findes på QNAP Systems sikkerhedsrådgivning specifikt dedikeret til QSnatch Malware.

Trending

Mest sete

Indlæser...