QSnatch

qsnatch Het is bekend dat een malwarebedreiging genaamd QSnatch zich richt op NAS-apparaten (Network-Attached Storage) die zijn vervaardigd door het in Taiwan gevestigde QNAP Systems, Inc. Malware-onderzoekers van het Finse nationale cyberbeveiligingscentrum (NCSC-FI) waren de eersten die de activiteit hiervan ontdekten nieuwe bedreiging medio oktober 2019. Dankzij een gedetailleerde analyse van de automatische rapporten van de eigen Autoreporter-service van het Center konden ze een aantal met QSnatch geïnfecteerde opslagapparaten blootleggen om te proberen communicatie tot stand te brengen met externe C&C (Command & Control) servers. Hoewel de Finse experts aanvankelijk geloofden dat ze te maken hadden met de op MS Windows toegesneden Caphaw-malware, bleek uit een grondige inspectie van de C2-communicatie dat de belangrijkste doelen van de malware in plaats daarvan QNAP NAS-apparaten waren. QNAP Systems, Inc. heeft sindsdien firmware-updates uitgegeven die gericht zijn op het neutraliseren van QSnatch van al zijn geïnfecteerde apparaten.

QSnatch Schadepotentieel

Onderzoekers moeten nog bepalen welke infectievectoren (IV's) worden ingezet door de boeven die verantwoordelijk zijn om QSnatch onder de hardware van QNAP te verspreiden. Wat ze wel weten, is dat QSnatch zijn schadelijke code rechtstreeks in de firmware van het hostapparaat plant en het vervolgens als een legitiem proces uitvoert in QTS, het op NAS gebaseerde besturingssysteem van QNAP. Eenmaal uitgevoerd, probeert QSnatch een verbinding tot stand te brengen met externe C & C-servers die vermoedelijk door dezelfde cybercriminelen worden beheerd. Als dit lukt, zou een dergelijke verbinding QSnatch in staat stellen extra malware op het geïnfecteerde apparaat op te halen via de "HTTP GET https: // /qnap_firmware.xml?=t " verzoek.

Zodra dit is voltooid, kan de QSnatch-malware behoorlijk wat opschudding veroorzaken in de gecompromitteerde host. Afhankelijk van de kwaadwillende module (s) die momenteel worden opgehaald van de C2-server (met mogelijk meer te wijten aan de modulaire capaciteit van QSnatch), kan QSnatch in staat zijn om:

  • Voorkomen dat applicaties en firmware updates toepassen, omdat dit mogelijk schadelijk is voor het schadelijke gedrag.
  • De toepassing QNAP MalwareRemover uitschakelen als de gebruikers dit programma op hun pc hebben geïnstalleerd.
  • Nieuwe malware binnenhalen van de C & C-server van de aanvallers.
  • Actieve tijdgebaseerde taakplanners (cronjobs) en init-bestanden wijzigen (initialisatiescripts die worden uitgevoerd om noodzakelijke processen te starten als onderdeel van het opstartproces).
  • Alle aanmeldingsgegevens en systeemconfiguratiebestanden die op de geïnfecteerde host aanwezig zijn verzamelen en overbrengen naar de C&C server van de operators.

Verwijder QSnatch van een geïnfecteerd apparaat

Als reactie op de eerste 25 oktober 2019-rapporten over de QSnatch-malware-aanval, heeft QNAP Systems snel een live firmware-update voor het QTS-besturingssysteem zelf aangeboden, toegankelijk via het QTS-configuratieschermmenu. De verkoper heeft ook een update uitgebracht voor zijn Malware Remover-app die verkrijgbaar is in het App Center van QTS. Hoewel die nieuwe versies van Malware Remover - respectievelijk 3.5.4.2 en 4.5.4.2 - voldoende moeten zijn om QSnatch van geïnfecteerde apparaten te verwijderen, moeten gebruikers ook hun reeds gecompromitteerde inloggegevens wijzigen om herinfectie te voorkomen. Last but not least heeft QNAP klanten aangespoord om de QTS Security Counselor-app (ook te vinden in het QTS App Center) te installeren om de netwerkbeveiliging van hun NAS-apparaten naar een hoger niveau te brengen.

Naast de hierboven genoemde stappen kunnen en moeten NAS-gebruikers hun toevlucht nemen tot een aantal acties om hun apparaten te beschermen tegen toekomstige aanvallen, waaronder maar niet beperkt tot:

  • Voorkomen van standaard poortnummers - 8080/81, 443, 80 en 22 om er maar een paar te noemen
  • Activeren van IP-bescherming tegen brute-force-pogingen
  • Inactieve accounts, verdachte apps en ongebruikte apps / services verwijderen (webserver, SQL Server, SSH, Telnet, etc.)

Aanvullende richtlijnen voor het implementeren van de hierboven beschreven maatregelen zijn te vinden in het beveiligingsadvies van QNAP System specifiek voor de QSnatch Malware.

Trending

Meest bekeken

Bezig met laden...