QSnatch

QSnatch Beskrivelse

qsnatch En malware trussel kalt QSnatch er kjent for å målrette NAS (Network-Attached Storage) -enheter produsert av de Taiwan-baserte QNAP Systems, Inc. Malware-forskere ved Finlands National Cyber Security Center (NCSC-FI) var de første som fikk øye på aktiviteten til dette ny trussel i midten av oktober 2019. En detaljert analyse av de automatiske rapportene levert av senterets egenutviklede Autoreporter-tjeneste tillot dem å eksponere et antall QSnatch-infiserte lagringsenheter som prøvde å etablere kommunikasjon med eksterne C & C (Command & Control) servere. Selv om de finske ekspertene opprinnelig trodde at de hadde å gjøre med MS Windows-skreddersydd Caphaw-malware, avslørte en grundig inspeksjon av C2-kommunikasjonen at malware's viktigste mål var QNAP NAS-enheter i stedet. QNAP Systems, Inc. har siden gitt firmwareoppdateringer som tar sikte på å nøytralisere QSnatch fra alle infiserte enheter.

Potensial for QSnatch Damage

Forskere har ennå ikke bestemt infeksjonsvektorene (IVs) utplassert av skurkene som har ansvaret for å spre QSnatch blant QNAPs maskinvare. Det de imidlertid vet er at QSnatch planter sin ondsinnede kode direkte i firmware til vertsenheten og deretter kjører den som en legitim prosess i QTS, QNAPs NAS-skreddersydde operativsystem. Når det kjøres, prøver QSnatch å opprette en forbindelse med eksterne C & C-servere som antagelig drives av de samme cyber-skurkene. Hvis vellykket, vil en slik forbindelse gjøre det mulig for QSnatch å hente ytterligere skadelig programvare til den infiserte enheten gjennom "HTTP GET https: // /qnap_firmware.xml?=t " be om.

Når dette er fullført, vil QSnatch skadelig programvare kunne forårsake en viss oppstuss i den kompromitterte verten. Avhengig av ondsinnede modul (er) som for øyeblikket er hentet fra C2-serveren (med mer potensielt å komme på grunn av QSnatchs modulære kapasitet), kan QSnatch være i stand til:

  • Å forhindre at applikasjoner og firmware bruker oppdateringer, da dette kan tukle med ondsinnet oppførsel.
  • Deaktivere QNAP MalwareRemover-applikasjonen hvis brukerne har installert dette programmet på sine PCer.
  • Få inn ny malware fra angripernes C & C-server.
  • Endre aktive tidsbaserte jobbplanleggere (cronjobs) og init-filer (initialiseringsskript som blir utført for å starte nødvendige prosesser som en del av oppstartsprosessen).
  • Høsting av alle påloggingsinformasjon og systemkonfigurasjonsfiler som er til stede på den infiserte verten og overføring av dem til C & C-serveren til operatørene.

Fjern QSnatch fra en infisert enhet

Som svar på de første rapportene den 25. oktober 2019 om QSnatch malware-angrep, ga QNAP Systems raskt en live firmwareoppdatering for selve QTS OS tilgjengelig fra QTS Kontrollpanel-menyen. Leverandøren la også ut en oppdatering for Malware Remover-appen som er tilgjengelig fra QTSs App-senter. Selv om de nye versjonene av henholdsvis Malware Remover - henholdsvis 3.5.4.2 og 4.5.4.2 - skal være tilstrekkelig til å fjerne QSnatch fra infiserte enheter, bør brukerne også endre sine allerede kompromitterte påloggingsinformasjon for å unngå reinfeksjon. Sist, men ikke minst, har QNAP oppfordret kundene til å installere QTS Security Counselor-appen (også funnet i QTS App Center) for å bringe nettverkssikkerheten til sine NAS-enheter til et høyere nivå.

I tillegg til trinnene som er nevnt over, kan og bør NAS-brukere ta til seg en rekke handlinger for å beskytte enhetene sine mot fremtidige angrep, inkludert, men ikke begrenset til:

  • Du slipper standard portnumre - 8080/81, 443, 80 og 22 for å nevne noen få
  • Aktivering av IP-beskyttelse mot forsøk på brute-force
  • Slette inaktive kontoer, mistenkelige apper og ubrukte apper / tjenester (Web Server, SQL Server, SSH, Telnet, etc.)

Ytterligere veiledning om hvordan du implementerer tiltakene som er beskrevet ovenfor, finner du på QNAP Systems sikkerhetsrådgivning dedikert spesielt til QSnatch Malware.

Legg igjen et svar

Vennligst IKKE bruk dette kommentarsystemet for support eller faktureringsspørsmål. For SpyHunter tekniske supportforespørsler, vennligst kontakt vårt tekniske supportteam direkte ved å åpne en kundesupportbillett via SpyHunter. For faktureringsproblemer, se siden " Faktureringsspørsmål eller problemer? " -Siden. For generelle henvendelser (klager, juridiske, presse, markedsføring, copyright), besøk vår " Forespørsler og tilbakemeldinger " -side.