QSnatch
A QSnatch-nek szinkronizált malware-fenyegetés a tajvani alapú QNAP Systems, Inc. által gyártott NAS (Network-Attached Storage) eszközöket célozza meg. A finn Nemzeti Kiberbiztonsági Központ (NCSC-FI) rosszindulatú programok kutatói voltak az elsők, akik ennek a tevékenységet fedezték fel. új veszély fenyegeti 2019. október közepét. A Központ szabadalmaztatott Autoreporter szolgáltatása által nyújtott automatikus jelentések részletes elemzése lehetővé tette számukra számos QSnatch-fertőzött tárolóeszköz feltárását, amelyek megpróbáltak kapcsolatot létesíteni a távoli C&C (Command & Control) kiszolgálókkal. Noha a finn szakértők eredetileg azt hitték, hogy foglalkoznak az MS Windows-hoz szabott Caphaw malware-kel, a C2 kommunikáció alapos vizsgálata során kiderült, hogy a malware elsődleges célpontjai inkább a QNAP NAS eszközök voltak. A QNAP Systems, Inc. azóta kiadott firmware frissítéseket, amelyek célja a QSnatch semlegesítése az összes fertőzött eszközről.
QSnatch károsodási potenciál
A kutatók még nem határozták meg a felelős csalók által alkalmazott fertőző vektorokat (IV-ket) a QSnatch terjesztése érdekében a QNAP hardverében. Azt azonban tudják, hogy a QSnatch a rosszindulatú kódját közvetlenül a gazdagép firmware-jébe ülteti, majd legitim folyamatként futtatja azt a QTS-ben, a QNAP NAS-testreszabott operációs rendszerében. A futtatás után a QSnatch megkísérli kapcsolatot létesíteni a távoli C&C szerverekkel, amelyek feltehetően ugyanazok a számítógépes csalók. Sikeres sikere esetén egy ilyen kapcsolat lehetővé tenné a QSnatch számára, hogy további rosszindulatú programokat töltsön le a fertőzött eszközre a "HTTP GET https: //
Amint ez befejeződik, a QSnatch rosszindulatú program elég komoly zavart okozhat a veszélyeztetett gazdagépen. A C2 szerverről jelenleg letöltött rosszindulatú modul (oka) tól függően (amelyek valószínűleg a QSnatch moduláris kapacitásából fakadnak) a QSnatch képes:
- Az alkalmazások és a firmware frissítéseinek megakadályozása, mivel ez megtámadhatja annak rosszindulatú viselkedését.
- A QNAP MalwareRemover alkalmazás letiltása, ha a felhasználók telepítették ezt a programot a számítógépükre.
- Új rosszindulatú programok behozatala a támadók C&C szerveréről.
- Az aktív időalapú feladatütemezők (cronjobs) és az init fájlok (inicializáló szkriptek, amelyeket a szükséges folyamatok indításához a rendszerindítási folyamat részeként hajtanak végre) megváltoztatása.
- Begyűjti az összes bejelentkezési hitelesítő adatot és a rendszerkonfigurációs fájlokat, amelyek a fertőzött gazdagépen vannak, és továbbítja azokat az operátorok C&C szerverére.
Távolítsa el a QSnatch-t egy fertőzött eszközről
A QSnatch rosszindulatú programok támadásáról szóló 2019. október 25-i kezdeti jelentésre adott válaszként a QNAP Systems hamarosan egy élő firmware frissítést nyújtott be maga a QTS operációs rendszerhez, amely elérhető a QTS Vezérlőpult menüből. Az eladó frissítette a Malware Remover alkalmazását is, amely elérhető a QTS App Center-jében. Noha a Malware Remover ezen új verziói - a 3.5.4.2 és a 4.5.4.2 - elegendőeknek elegendőek lesznek a QSnatch eltávolításához a fertőzött eszközökről, a felhasználóknak az újrafertőzés elkerülése érdekében meg kell változtatniuk a már veszélyeztetett bejelentkezési hitelesítő adataikat is. Végül, de nem utolsósorban, a QNAP sürgette az ügyfeleket, hogy telepítsék a QTS biztonsági tanácsadói alkalmazást (amely szintén megtalálható a QTS App Centerben), hogy NAS-készülékeik hálózati biztonságát magasabb szintre állítsák.
A fent említett lépéseken túl a NAS-felhasználók számos intézkedést igényelhetnek és alkalmazniuk kell eszközöket a jövőbeni támadások megóvása érdekében, ideértve, de nem kizárólagosan:
- Kihúzva az alapértelmezett portszámokat - 8080/81, 443, 80 és 22 - csak néhányat említhetünk
- Az IP védelem aktiválása a brute-force kísérletek ellen
- Inaktív fiókok, gyanús alkalmazások és nem használt alkalmazások / szolgáltatások (webkiszolgáló, SQL Server, SSH, Telnet stb.) Törlése
A fent leírt intézkedések végrehajtásával kapcsolatos további útmutatások a QNAP System biztonsági tanácsadásában találhatók, amely kifejezetten a QSnatch Malware-hez tartozik.
