QSnatch
Poznato je da je prijetnja od zlonamjernog softvera nazvana QSnatch ciljala NAS (Network-Attached Storage) uređaje koje je proizveo tajvanski QNAP Systems, Inc. Istraživači zlonamjernog softvera u Finskom nacionalnom centru za cyber sigurnost (NCSC-FI) prvi su primijetili aktivnost ove nova prijetnja sredinom listopada 2019. Detaljna analiza automatskih izvješća koja pružaju ovlaštene autoreporterske usluge Centra omogućila su otkrivanje brojnih uređaja za pohranu zaraženih QSnatch-om pokušavajući uspostaviti komunikaciju s udaljenim C&C (Command & Control) poslužiteljima. Iako su finski stručnjaci u početku vjerovali da se bave zlonamjernim softverom prilagođenim za MS Windows, Caphaw, temeljita provjera komunikacije C2 otkrila je da su glavni ciljevi zlonamjernog softvera umjesto toga QNAP NAS uređaji. QNAP Systems, Inc. od tada izdaje ažuriranja firmvera čiji je cilj neutraliziranje QSnatch-a sa svih zaraženih uređaja.
QSnatch potencijal oštećenja
Istraživači još nisu utvrdili vektore infekcije (IV) koje su postavili lopovi koji su zaduženi za širenje QSnatcha među QNAP-ovim hardverom. Ono što oni znaju, međutim, je da QSnatch postavlja svoj zlonamjerni kod izravno u firmver glavnog računala i zatim ga pokreće kao legitimni postupak u QTS-u, QNAP-ovom NAS-skroljenom operativnom sustavu. Jednom pokrenut, QSnatch pokušava uspostaviti vezu s udaljenim C&C poslužiteljima za koje pretpostavlja da upravljaju isti cyber lopovi. Ako bude uspješna, takva bi veza omogućila QSnatchu da dohvaća dodatni zlonamjerni softver na zaraženom uređaju putem "HTTP GET https: //
Nakon što je ovo dovršeno, QSnatch zlonamjerni softver moći će izazvati velike probleme u kompromitiranom hostu. Ovisno o zlonamjernim modulima koji su trenutno preuzeti s C2 poslužitelja (a mogući su potencijalniji modularni kapaciteti QSnatch-a), QSnatch može biti u mogućnosti:
- Sprječavanje aplikacija i upravljačkog softvera da primjenjuju ažuriranja jer bi to moglo ugroziti njegovo zlonamjerno ponašanje.
- Onemogućavanje QNAP MalwareRemover aplikacije ako su korisnici instalirali ovaj program na svoja računala.
- Donošenje novog zlonamjernog softvera s C&C poslužitelja napadača.
- Izmjena aktivnih rasporeda poslova temeljenih na vremenu (cronjobs) i init datoteka (skripte za inicijalizaciju koje se izvode za pokretanje potrebnih procesa kao dijela procesa dizanja sustava).
- Skupljanje svih vjerodajnica za prijavu i datoteka konfiguracije sustava prisutnih na zaraženom domaćinu i prijenos na C&C poslužitelj njegovih operatora.
Uklonite QSnatch iz zaraženog uređaja
Kao odgovor na početna izvješća od 25. listopada 2019. o napadu zlonamjernog softvera QSnatch, QNAP Systems je brzo pružio živo ažuriranje firmvera za sam QTS OS dostupan iz izbornika upravljačke ploče QTS-a. Dobavljač je također predstavio ažuriranje za svoju aplikaciju za uklanjanje zlonamjernog softvera dostupnu u QTS-ovom App centru. Iako bi te nove verzije programa za uklanjanje zlonamjernog softvera - 3.5.4.2. I 4.5.4.2. - trebale biti dovoljno za uklanjanje QSnatch-a s zaraženih uređaja, korisnici bi također trebali promijeniti svoje već ugrožene vjerodajnice za prijavu kako bi se izbjegla ponovna infekcija. I posljednje, ali ne najmanje bitno, QNAP je apelirao na korisnike da instaliraju aplikaciju QTS Security Counsellor (koja se također nalazi u QTS App Centru) kako bi se sigurnost mreže njihovih NAS uređaja povećala na višu razinu.
Pored gore navedenih koraka, NAS-ovi korisnici mogu i trebaju pribjeći brojnim akcijama za zaštitu svojih uređaja od budućih napada, uključujući, ali ne ograničavajući se na:
- Izbjegavajte zadane brojeve priključaka - 8080/81, 443, 80 i 22, ali samo nekoliko
- Aktiviranje IP zaštite od brutalnih pokušaja
- Brisanje neaktivnih računa, sumnjivih aplikacija i neiskorištenih aplikacija / usluga (web poslužitelj, SQL Server, SSH, Telnet itd.)
Dodatne smjernice o provođenju gore navedenih mjera mogu se naći u sigurnosnim savjetima za QNAP System posvećenim posebno QSnatch malware-u.
