QSnatch
En malware trussel kalt QSnatch er kjent for å målrette NAS (Network-Attached Storage) -enheter produsert av de Taiwan-baserte QNAP Systems, Inc. Malware-forskere ved Finlands National Cyber Security Center (NCSC-FI) var de første som fikk øye på aktiviteten til dette ny trussel i midten av oktober 2019. En detaljert analyse av de automatiske rapportene levert av senterets egenutviklede Autoreporter-tjeneste tillot dem å eksponere et antall QSnatch-infiserte lagringsenheter som prøvde å etablere kommunikasjon med eksterne C & C (Command & Control) servere. Selv om de finske ekspertene opprinnelig trodde at de hadde å gjøre med MS Windows-skreddersydd Caphaw-malware, avslørte en grundig inspeksjon av C2-kommunikasjonen at malware's viktigste mål var QNAP NAS-enheter i stedet. QNAP Systems, Inc. har siden gitt firmwareoppdateringer som tar sikte på å nøytralisere QSnatch fra alle infiserte enheter.
Potensial for QSnatch Damage
Forskere har ennå ikke bestemt infeksjonsvektorene (IVs) utplassert av skurkene som har ansvaret for å spre QSnatch blant QNAPs maskinvare. Det de imidlertid vet er at QSnatch planter sin ondsinnede kode direkte i firmware til vertsenheten og deretter kjører den som en legitim prosess i QTS, QNAPs NAS-skreddersydde operativsystem. Når det kjøres, prøver QSnatch å opprette en forbindelse med eksterne C & C-servere som antagelig drives av de samme cyber-skurkene. Hvis vellykket, vil en slik forbindelse gjøre det mulig for QSnatch å hente ytterligere skadelig programvare til den infiserte enheten gjennom "HTTP GET https: //
Når dette er fullført, vil QSnatch skadelig programvare kunne forårsake en viss oppstuss i den kompromitterte verten. Avhengig av ondsinnede modul (er) som for øyeblikket er hentet fra C2-serveren (med mer potensielt å komme på grunn av QSnatchs modulære kapasitet), kan QSnatch være i stand til:
- Å forhindre at applikasjoner og firmware bruker oppdateringer, da dette kan tukle med ondsinnet oppførsel.
- Deaktivere QNAP MalwareRemover-applikasjonen hvis brukerne har installert dette programmet på sine PCer.
- Få inn ny malware fra angripernes C & C-server.
- Endre aktive tidsbaserte jobbplanleggere (cronjobs) og init-filer (initialiseringsskript som blir utført for å starte nødvendige prosesser som en del av oppstartsprosessen).
- Høsting av alle påloggingsinformasjon og systemkonfigurasjonsfiler som er til stede på den infiserte verten og overføring av dem til C & C-serveren til operatørene.
Fjern QSnatch fra en infisert enhet
Som svar på de første rapportene den 25. oktober 2019 om QSnatch malware-angrep, ga QNAP Systems raskt en live firmwareoppdatering for selve QTS OS tilgjengelig fra QTS Kontrollpanel-menyen. Leverandøren la også ut en oppdatering for Malware Remover-appen som er tilgjengelig fra QTSs App-senter. Selv om de nye versjonene av henholdsvis Malware Remover - henholdsvis 3.5.4.2 og 4.5.4.2 - skal være tilstrekkelig til å fjerne QSnatch fra infiserte enheter, bør brukerne også endre sine allerede kompromitterte påloggingsinformasjon for å unngå reinfeksjon. Sist, men ikke minst, har QNAP oppfordret kundene til å installere QTS Security Counselor-appen (også funnet i QTS App Center) for å bringe nettverkssikkerheten til sine NAS-enheter til et høyere nivå.
I tillegg til trinnene som er nevnt over, kan og bør NAS-brukere ta til seg en rekke handlinger for å beskytte enhetene sine mot fremtidige angrep, inkludert, men ikke begrenset til:
- Du slipper standard portnumre - 8080/81, 443, 80 og 22 for å nevne noen få
- Aktivering av IP-beskyttelse mot forsøk på brute-force
- Slette inaktive kontoer, mistenkelige apper og ubrukte apper / tjenester (Web Server, SQL Server, SSH, Telnet, etc.)
Ytterligere veiledning om hvordan du implementerer tiltakene som er beskrevet ovenfor, finner du på QNAP Systems sikkerhetsrådgivning dedikert spesielt til QSnatch Malware.