QSnatch
Zagrożenie złośliwym oprogramowaniem o nazwie QSnatch znane jest z atakowania urządzeń NAS (Network-Attached Storage) produkowanych przez tajwańską firmę QNAP Systems, Inc. Badacze szkodliwego oprogramowania w fińskim National Cyber Security Center (NCSC-FI) jako pierwsi zauważyli aktywność tego nowe zagrożenie w połowie października 2019 r. Szczegółowa analiza automatycznych raportów dostarczonych przez zastrzeżoną usługę Autoreporter Centrum pozwoliła im ujawnić szereg urządzeń pamięci masowej zainfekowanych QSnatch, próbujących nawiązać komunikację ze zdalnymi serwerami C&C (Command & Control). Chociaż fińscy eksperci początkowo wierzyli, że mają do czynienia ze złośliwym oprogramowaniem Caphaw dostosowanym do MS Windows, dokładna kontrola komunikacji C2 ujawniła, że głównym celem tego złośliwego oprogramowania były urządzenia NAS QNAP. Od tego czasu firma QNAP Systems, Inc. wydała aktualizacje oprogramowania układowego w celu zneutralizowania QSnatch ze wszystkich zainfekowanych urządzeń.
QSnatch Uszkodzenie
Naukowcy nie ustalili jeszcze wektorów infekcji (IV) rozmieszczonych przez oszustów odpowiedzialnych za rozprzestrzenianie QSnatch wśród sprzętu QNAP. Wiedzą jednak, że QSnatch umieszcza swój złośliwy kod bezpośrednio w oprogramowaniu wewnętrznym urządzenia hosta, a następnie uruchamia go jako legalny proces w QTS, dostosowanym do NAS systemie operacyjnym QNAP. Po uruchomieniu QSnatch próbuje nawiązać połączenie ze zdalnymi serwerami kontroli i kontroli, prawdopodobnie obsługiwanymi przez tych samych cyberprzestępców. Jeśli się powiedzie, takie połączenie umożliwi QSnatchowi pobranie dodatkowego złośliwego oprogramowania na zainfekowane urządzenie poprzez „HTTP GET https: //
Po zakończeniu tej czynności złośliwe oprogramowanie QSnatch będzie w stanie wywołać zamieszanie w zainfekowanym hoście. W zależności od złośliwych modułów obecnie pobranych z serwera C2 (z większym potencjalnym udziałem ze względu na modułową pojemność QSnatch), QSnatch może być w stanie:
- Zapobieganie stosowaniu aktualizacji przez aplikacje i oprogramowanie układowe, ponieważ może to manipulować jego złośliwym zachowaniem.
- Wyłączanie aplikacji QNAP MalwareRemover, jeśli użytkownicy zainstalowali ten program na swoich komputerach.
- Wprowadzanie nowego złośliwego oprogramowania z serwera C&C atakujących.
- Zmiana aktywnych harmonogramów zadań opartych na czasie (cronjobs) i plików init (skrypty inicjujące, które są wykonywane w celu uruchomienia niezbędnych procesów w ramach procesu rozruchu).
- Zebranie wszystkich danych logowania i plików konfiguracyjnych systemu obecnych na zainfekowanym hoście i przeniesienie ich na serwer kontroli klienta jego operatorów.
Usuń QSnatch z zainfekowanego urządzenia
W odpowiedzi na wstępne raporty z 25 października 2019 r. Dotyczące ataku złośliwego oprogramowania QSnatch, QNAP Systems szybko udostępnił aktualizację oprogramowania układowego na żywo dla samego systemu QTS dostępną z menu Panelu sterowania QTS. Producent opublikował również aktualizację swojej aplikacji do usuwania złośliwego oprogramowania dostępnej w centrum aplikacji QTS. Podczas gdy te nowe wersje narzędzia do usuwania złośliwego oprogramowania - odpowiednio 3.5.4.2 i 4.5.4.2 - powinny wystarczyć do usunięcia QSnatch z zainfekowanych urządzeń, użytkownicy powinni również zmienić swoje już skompromitowane dane logowania, aby uniknąć ponownej infekcji. Wreszcie QNAP wezwał klientów do zainstalowania aplikacji QTS Security Counsellor (również w QTS App Center) w celu podniesienia bezpieczeństwa sieci urządzeń NAS na wyższy poziom.
Oprócz wyżej wymienionych kroków użytkownicy NAS mogą i powinni uciekać się do szeregu działań w celu ochrony swoich urządzeń przed przyszłymi atakami, w tym między innymi:
- Unikanie domyślnych numerów portów - 8080/81, 443, 80 i 22, żeby wymienić tylko kilka
- Aktywowanie ochrony IP przed próbami użycia siły
- Usuwanie nieaktywnych kont, podejrzanych aplikacji i nieużywanych aplikacji / usług (serwer sieci Web, SQL Server, SSH, Telnet itp.)
Dodatkowe wskazówki dotyczące wdrażania opisanych powyżej środków można znaleźć w poradniku bezpieczeństwa systemu QNAP poświęconym specjalnie złośliwemu oprogramowaniu QSnatch.
