„QSnatch“
Yra žinoma, kad kenkėjiškų programų grėsmė, pasivadinusi „QSnatch", nukreipta į NAS (tinklo prijungtos saugyklos) įrenginius, kuriuos gamina Taivanis įsikūręs „QNAP Systems, Inc.". Suomijos nacionalinio kibernetinio saugumo centro (NCSC-FI) kenkėjiškų programų tyrėjai pirmieji pastebėjo šios veiklos svarbą. nauja grėsmė 2019 m. spalio mėn. viduryje. Išsami automatinių ataskaitų, kurias pateikė centro patentuota „ Autoreporter" tarnyba, analizė leido jiems atskleisti daugybę „QSnatch" užkrėstų saugojimo įrenginių, bandančių užmegzti ryšį su nuotoliniais C&C („Command & Control") serveriais. Nors iš pradžių Suomijos ekspertai manė, kad susiduria su „MS Windows" pritaikyta „Caphaw" kenkėjiška programa, nuodugniai patikrinus C2 komunikaciją paaiškėjo, kad svarbiausi kenkėjiškų programų taikiniai buvo „QNAP NAS" įrenginiai. Nuo to laiko „QNAP Systems, Inc." išleido programinės įrangos naujinius, kurių tikslas - neutralizuoti „QSnatch" iš visų užkrėstų įrenginių.
„QSnatch" žalos potencialas
Tyrėjai dar turi nustatyti užkrato pernešėjus (IV), kuriuos dislokavo atsakingi sukčiai, kad paskleistų QSnatch tarp QNAP aparatinės įrangos. Tačiau jie iš tikrųjų žino, kad „QSnatch" savo kenkėjišką kodą įduria tiesiai į pagrindinio įrenginio programinę-aparatinę įrangą ir tada paleidžia jį kaip teisėtą procesą QTS, QNAP NAS pritaikytoje operacinėje sistemoje. Paleidęs „QSnatch" bando užmegzti ryšį su nuotoliniais C&C serveriais, kuriuos, matyt, valdo tie patys elektroniniai sukčiai. Jei pavyktų, toks ryšys leistų „QSnatch" į „infekuotą" įrenginį įkelti papildomos kenkėjiškos programos naudojant „HTTP GET https: //
Kai tai bus baigta, „QSnatch" kenkėjiška programinė įranga galės sujaukti kompromituotą pagrindinį kompiuterį. Atsižvelgiant į šiuo metu iš C2 serverio nuskaitytą kenksmingą modulį (-ius) (gali atsirasti daugiau dėl „QSnatch" modulinės talpos), „QSnatch" gali būti pajėgus:
- Neleidžiama programoms ir programinei programinei įrangai naudoti naujinimus, nes tai gali sugadinti kenkėjišką jos elgesį.
- „QNAP MalwareRemover" programos išjungimas, jei vartotojai įdiegė šią programą savo asmeniniuose kompiuteriuose.
- Įsigykite naują kenkėjišką programą iš užpuolikų C&C serverio.
- Pakeisti aktyvius laiko planavimo darbus („cronjobs") ir „init" failus (inicijavimo scenarijus, kurie vykdomi norint paleisti būtinus procesus kaip įkrovos proceso dalį).
- Derinti visus prisijungimo kredencialus ir sistemos konfigūracijos failus, esančius užkrėstame pagrindiniame kompiuteryje, ir perkelti juos į jo operatorių C&C serverį.
Pašalinkite „QSnatch" iš užkrėsto įrenginio
Reaguodama į pradines 2019 m. Spalio 25 d. Ataskaitas apie „QSnatch" kenkėjiškų programų ataką, „QNAP Systems" greitai pateikė tiesioginį programinės aparatinės įrangos naujinimą pačiai QTS OS, prieinamą iš „QTS Control Panel" meniu. Pardavėjas taip pat išleido savo kenkėjiškų programų šalinimo programos naujinį, kurį galima rasti QTS programų centre. Nors tų naujų kenkėjiškų programų šalinimo priemonės versijų - atitinkamai 3.5.4.2 ir 4.5.4.2 - turėtų pakakti norint pašalinti „QSnatch" iš užkrėstų įrenginių, vartotojai taip pat turėtų pakeisti savo jau pažeistus prisijungimo duomenis, kad būtų išvengta pakartotinio užkrėtimo. Paskutinis, bet ne mažiau svarbus dalykas - QNAP paragino klientus įdiegti „QTS Security Counselor" programą (taip pat rastą „QTS App Center"), kad jų NAS įrenginių tinklo saugumas būtų aukštesnis.
Be aukščiau paminėtų žingsnių, NAS vartotojai gali ir turėtų imtis daugybės veiksmų, kad apsaugotų savo įrenginius nuo būsimų atakų, įskaitant, bet neapsiribojant:
- Vairuokite ne pagal numatytuosius prievadų numerius - 8080/81, 443, 80 ir 22, kad paminėtumėte tik keletą
- IP apsaugos suaktyvinimas nuo bandymų atlikti žiaurų jėgą
- Neaktyvių paskyrų, įtartinų programų ir nenaudotų programų / paslaugų (tinklo serverio, SQL serverio, SSH, „Telnet" ir kt.) Ištrynimas
Papildomos rekomendacijos, kaip įgyvendinti aukščiau aprašytas priemones, yra „QNAP System" saugos patarime, skirtame konkrečiai „QSnatch" kenkėjiškoms programoms.
