QSnatch

QSnatch Kuvaus

qsnatch QSnatch-nimeltä haittaohjelmauhan tiedetään kohdistavan NAS (Network-Attached Storage) -laitteisiin, joita valmistaa Taiwanissa toimiva QNAP Systems, Inc. -yritys. Haittaohjelmatutkijat Suomen kansallisessa kyberturvallisuuskeskuksessa (NCSC-FI) havaitsivat ensimmäisenä tämän toiminnan. uusi uhka lokakuun puolivälissä 2019. Yksityiskohtainen analyysi keskuksen omistaman Autoreporter-palvelun toimittamista automaattisista raporteista antoi heidän mahdollisuuden paljastaa useita QSnatch-tartunnan saaneita tallennuslaitteita, jotka yrittivät muodostaa yhteyden etähallinto- ja hallintajärjestelmiin (Command & Control). Vaikka suomalaiset asiantuntijat uskoivat alun perin tekevänsä MS Windows-räätälöityjä Caphaw-haittaohjelmia, C2-viestinnän perusteellinen tarkastus paljasti, että haittaohjelmien pääkohteet olivat sen sijaan QNAP NAS -laitteet. QNAP Systems, Inc. on sittemmin julkaissut laiteohjelmistopäivityksiä, joiden tarkoituksena on neutraloida QSnatch kaikista tartunnan saaneista laitteista.

QSnatch-vahinkopotentiaali

Tutkijoiden ei ole vielä määritetty tartuntavektoreita (IV), jotka vastuussa olevat huijarit ovat käyttäneet levittämään QSnatchia QNAP: n laitteistoihin. He tietävät kuitenkin, että QSnatch kasvattaa haitallisen koodinsa suoraan isäntälaitteen laiteohjelmistoon ja ajaa sen sitten laillisena prosessina QTS: ssä, QNAP: n NAS-räätälöityssä käyttöjärjestelmässä. Suoritettuaan suorituksen QSnatch yrittää muodostaa yhteyden etähallinto- ja -palvelimiin, joita oletettavasti käyttävät samat tietoverkot. Jos onnistuminen, tällainen yhteys sallii QSnatchin hakea lisää haittaohjelmia tartunnan saaneelle laitteelle "HTTP GET https: //: n" kautta. /qnap_firmware.xml?=t " pyyntö.

Kun tämä on valmis, QSnatch-haittaohjelma pystyy aiheuttamaan melko sekoituksen vaarannetussa isäntässä. C2-palvelimelta tällä hetkellä noudettujen haitallisten moduulien mukaan (QSnatchin modulaarisesta kapasiteetista voi tulla enemmän) QSnatch saattaa kyetä:

  • Estää sovelluksia ja laiteohjelmistoja päivityksiä, koska tämä saattaa vahingoittaa sen haitallista toimintaa.
  • Poista QNAP MalwareRemover -sovellus käytöstä, jos käyttäjät ovat asentaneet tämän ohjelman tietokoneelleen.
  • Tuodaan uusia haittaohjelmia hyökkääjien C&C-palvelimelta.
  • Aktiivisten aikapohjaisten työnaikataulujen (cronjobs) ja init-tiedostojen (alustuskomentosarjat, jotka suoritetaan tarvittavien prosessien käynnistämiseksi osana käynnistysprosessia) muuttaminen.
  • Kerää kaikki tartunnan saaneessa isännässä olevat sisäänkirjautumistiedot ja järjestelmämääritystiedostot ja siirtävät ne operaattorien C&C-palvelimelle.

Poista QSnatch tartunnan saaneesta laitteesta

Vastauksena QSnatch-haittaohjelmahyökkäyksestä lokakuun 25. päivänä 2019 annettuihin alkuperäisiin raportteihin, QNAP Systems toimitti pikaisesti itse QTS-käyttöjärjestelmän päivityksen, johon pääsee QTS-ohjauspaneelin valikosta. Myyjä julkaisi myös päivityksen Malware Remover -sovellukselleen, joka on saatavana QTS: n App Centeristä. Näiden uusien Malware Remover -versioiden - vastaavasti 3.5.4.2 ja 4.5.4.2 - pitäisi olla riittäviä poistamaan QSnatch tartunnan saaneista laitteista, käyttäjien tulisi myös muuttaa jo vaarannetut kirjautumistiedot uudelleen tartunnan välttämiseksi. Viimeisenä mutta ei vähäisimpänä, QNAP on kehottanut asiakkaita asentamaan QTS Security Counselor -sovelluksen (löytyy myös QTS App Centeristä) nostaakseen NAS-laitteidensa verkkoturvallisuuden korkeammalle tasolle.

Edellä mainittujen vaiheiden lisäksi NAS: n käyttäjät voivat ja niiden pitäisi turvautua useisiin toimiin laitteidensa suojaamiseksi tulevilta hyökkäyksiltä, mukaan lukien, mutta näihin rajoittumatta:

  • Ohjaus oletusportin numeroista - 8080/81, 443, 80 ja 22 vain muutaman mainitsemiseksi
  • IP-suojauksen aktivoiminen raa'alta voimalta
  • Passiivisten tilien, epäilyttävien sovellusten ja käyttämättömien sovellusten / palveluiden (Web Server, SQL Server, SSH, Telnet jne.) Poistaminen

Lisäohjeita yllä kuvattujen toimenpiteiden toteuttamiseen löytyy QNAP-järjestelmän tietoturvaohjeista, jotka on omistettu erityisesti QSnatch-haittaohjelmille.

Jätä vastaus

ÄLÄ käytä tätä kommenttijärjestelmää tuki tai laskutuskysymyksiin. Jos haluat SpyHunter-teknisen tuen pyynnöt, ota yhteyttä suoraan teknisen tukitiimimme avaamalla asiakastukilippu SpyHunter-palvelun kautta. Katso laskutusongelmat “Laskutuskysymykset vai ongelmat” sivultamme. Yleiset tiedustelut (valitukset, oikeudelliset, lehdistö, markkinointi, tekijänoikeudet) ovat " Tiedustelut ja Palaute" sivulla.