QSnatch

QSnatch Περιγραφή

qsnatch Μια απειλή κακόβουλου λογισμικού που μεταγλωττίστηκε Το QSnatch είναι γνωστό ότι στοχεύει σε συσκευές NAS (Network-Attached Storage) που κατασκευάζονται από την εταιρεία QNAP Systems, Inc. της Taiwan. Οι ερευνητές του κακόβουλου λογισμικού στο εθνικό κέντρο ασφάλειας Cyber Security (NCSC-FI) της Φινλανδίας ήταν οι πρώτοι που διαπίστωσαν τη δραστηριότητα νέα απειλή στα μέσα Οκτωβρίου του 2019. Μια λεπτομερής ανάλυση των αυτόματων αναφορών που παρέχονται από την ιδιόκτητη υπηρεσία Autoreporter του Κέντρου τους επέτρεψε να εκθέσουν μια σειρά συσκευών αποθήκευσης που έχουν μολυνθεί από το QSnatch και προσπαθούν να επικοινωνήσουν με απομακρυσμένους διακομιστές C & C (Command & Control). Αν και οι φινλανδοί εμπειρογνώμονες αρχικά πίστευαν ότι ασχολούνταν με το κακόβουλο λογισμικό Caphaw που έχει σχεδιαστεί από τα Windows, μια λεπτομερής εξέταση της επικοινωνίας C2 αποκάλυψε ότι οι πρωταρχικοί στόχοι του κακόβουλου λογισμικού ήταν οι συσκευές QNAP NAS. Από τότε η QNAP Systems, Inc. έχει εκδώσει ενημερώσεις υλικολογισμικού με στόχο την εξουδετέρωση του QSnatch από όλες τις μολυσμένες συσκευές.

QSnatch Damage Potential

Οι ερευνητές δεν έχουν ακόμη προσδιορίσει τους φορείς μόλυνσης (IVs) που αναπτύσσονται από τους απατεώνες που είναι υπεύθυνοι για να διαδώσουν το QSnatch μεταξύ των υλικών του QNAP. Αυτό που γνωρίζουν, ωστόσο, είναι ότι το QSnatch εγκαθιστά τον κακόβουλο κώδικα του απευθείας στο υλικολογισμικό της συσκευής υποδοχής και στη συνέχεια το εκτελεί ως μια νόμιμη διαδικασία στο QTS, το QNAP's NAS-Customized Operating System. Μόλις τρέξει, το QSnatch προσπαθεί να δημιουργήσει μια σύνδεση με απομακρυσμένους διακομιστές C & C που προφανώς λειτουργούν από τους ίδιους απατεώνες του κυβερνοχώρου. Εάν είναι επιτυχής, μια τέτοια σύνδεση θα επέτρεπε στο QSnatch να προσελκύσει επιπλέον κακόβουλα προγράμματα στη μολυσμένη συσκευή μέσω του "HTTP GET https: // /qnap_firmware.xml?=t " αίτηση.

Μόλις ολοκληρωθεί αυτό, το κακόβουλο λογισμικό QSnatch θα είναι σε θέση να προκαλέσει μεγάλη αναταραχή στον κατεστραμμένο κεντρικό υπολογιστή. Ανάλογα με τις κακόβουλες λειτουργικές μονάδες που ανακτώνται από τον εξυπηρετητή C2 (με πιθανότερο να έρθουν λόγω της αρθρωτής χωρητικότητας του QSnatch), το QSnatch μπορεί να είναι ικανό:

  • Αποτρέψτε τις εφαρμογές και το υλικολογισμικό από την εφαρμογή ενημερώσεων, καθώς αυτό θα μπορούσε να παραβιάσει την κακόβουλη συμπεριφορά του.
  • Απενεργοποίηση της εφαρμογής QNAP MalwareRemover εάν οι χρήστες έχουν εγκαταστήσει αυτό το πρόγραμμα στους υπολογιστές τους.
  • Φέρνοντας σε νέο κακόβουλο λογισμικό από το διακομιστή C & C των εισβολέων.
  • Τροποποίηση ενεργών χρονοπρογραμματιστών (cronjobs) και αρχείων init (γραφήματα αρχικοποίησης που εκτελούνται για να ξεκινήσουν τις απαραίτητες διαδικασίες ως μέρος της διαδικασίας εκκίνησης).
  • Συγκέντρωση όλων των διαπιστευτηρίων σύνδεσης και των αρχείων ρυθμίσεων του συστήματος που υπάρχουν στο μολυσμένο κεντρικό υπολογιστή και μεταφορά τους στο διακομιστή C & C των φορέων εκμετάλλευσης.

Αφαιρέστε το QSnatch από μια μολυσμένη συσκευή

Σε απάντηση στις αρχικές εκθέσεις 25 Οκτωβρίου του 2019 σχετικά με την επίθεση κακόβουλου λογισμικού QSnatch, η QNAP Systems παρέσχε γρήγορα μια ενημερωμένη ενημέρωση υλικολογισμικού για το ίδιο το QTS OS, προσβάσιμη από το μενού του πίνακα ελέγχου QTS. Ο πωλητής έστειλε επίσης μια ενημερωμένη έκδοση για την εφαρμογή Malware Remover διαθέσιμη από το Κέντρο App του QTS. Ενώ αυτές οι νέες εκδόσεις του Malware Remover - 3.5.4.2 και 4.5.4.2, αντίστοιχα - θα πρέπει να επαρκούν για να αφαιρέσουν το QSnatch από μολυσμένες συσκευές, οι χρήστες θα πρέπει επίσης να αλλάξουν τα διαπιστευτήριά τους σύνδεσης που έχουν ήδη παραβιαστεί, για να αποφευχθεί η επανεμφάνιση. Τέλος, το QNAP έχει παροτρύνει τους πελάτες να εγκαταστήσουν την εφαρμογή Συμβούλου ασφαλείας QTS (που βρίσκεται επίσης στο Κέντρο Εφαρμογών QTS) για να φέρει την ασφάλεια δικτύων των συσκευών NAS σε υψηλότερο επίπεδο.

Εκτός από τα προαναφερθέντα βήματα, οι χρήστες NAS μπορούν και πρέπει να καταφύγουν σε ορισμένες ενέργειες για να προστατεύσουν τις συσκευές τους από μελλοντικές επιθέσεις, συμπεριλαμβανομένων, μεταξύ άλλων, των εξής:

  • Το τιμόνι ξεφεύγει από τους προεπιλεγμένους αριθμούς θύρας - 8080/81, 443, 80 και 22 για να αναφέρουμε λίγα
  • Ενεργοποίηση της προστασίας IP από προσπάθειες βίας-βίας
  • Διαγραφή ανενεργών λογαριασμών, ύποπτων εφαρμογών και εφαρμογών / υπηρεσιών που δεν χρησιμοποιούνται (Web Server, SQL Server, SSH, Telnet κλπ.)

Πρόσθετες οδηγίες για τον τρόπο εφαρμογής των μέτρων που περιγράφηκαν παραπάνω μπορούν να βρεθούν στη συμβουλευτική για την ασφάλεια του συστήματος QNAP που είναι ειδικά για το QSnatch Malware.

Αφήστε μια απάντηση

Μη χρησιμοποιείτε αυτό το σύστημα σχολίων για ερωτήσεις υποστήριξης ή χρέωσης. Για τα αιτήματα τεχνικής υποστήριξης του SpyHunter, επικοινωνήστε απευθείας με την ομάδα τεχνικής υποστήριξης ανοίγοντας ένα εισιτήριο υποστήριξης πελατών μέσω του SpyHunter. Για ζητήματα χρέωσης, ανατρέξτε στη Ερωτήσεις ή Προβλήματα Χρέωσης ". Για γενικές έρευνες (παράπονα, νομικά, τύπου, μάρκετινγκ, πνευματικά δικαιώματα), επισκεφθείτε τη σελίδα " Διακοπές και ανατροφοδότηση ".