QSnatch
Известно, что вредоносная угроза, получившая название QSnatch, нацелена на устройства NAS (Network-Attached Storage), изготовленные тайваньской компанией QNAP Systems, Inc. Исследователи вредоносного ПО в Национальном центре кибербезопасности Финляндии (NCSC-FI) первыми обнаружили активность этого устройства. новая угроза в середине октября 2019 года. Детальный анализ автоматических отчетов, предоставляемых запатентованной службой центра Autoreporter, позволил им выявить ряд зараженных QSnatch устройств хранения данных, пытающихся установить связь с удаленными серверами C & C (Command & Control). Хотя финские эксперты изначально полагали, что имеют дело с вредоносным ПО Caphaw для MS Windows, тщательный анализ связи C2 показал, что основными целями вредоносного ПО были устройства QNAP NAS. С тех пор QNAP Systems, Inc. выпустила обновления прошивки, направленные на нейтрализацию QSnatch со всех своих зараженных устройств.
QSnatch Damage Потенциал
Исследователям еще предстоит определить векторы заражения (IV), развернутые мошенниками, отвечающими за распространение QSnatch среди аппаратного обеспечения QNAP. Однако они знают, что QSnatch внедряет свой вредоносный код непосредственно в прошивку хост-устройства, а затем запускает его как законный процесс в QTS, адаптированной для NAS операционной системе QNAP. После запуска QSnatch пытается установить соединение с удаленными C & C-серверами, предположительно управляемыми теми же кибер-мошенниками. В случае успеха такое соединение позволит QSnatch извлекать дополнительные вредоносные программы на зараженное устройство через «HTTP GET https: //
Как только это будет завершено, вредоносная программа QSnatch сможет вызвать сенсацию на взломанном хосте. В зависимости от вредоносных модулей, которые в настоящее время извлекаются с сервера C2 (возможно, из-за модульной емкости QSnatch), QSnatch может быть способен:
- Предотвращение применения обновлений приложениями и встроенным программным обеспечением, так как это может повлиять на его вредоносное поведение.
- Отключение приложения QNAP MalwareRemover, если пользователи установили эту программу на своих ПК.
- Внедрение новых вредоносных программ с сервера атакующего.
- Изменение активных временных расписаний заданий (cronjobs) и файлов инициализации (сценариев инициализации, которые выполняются для запуска необходимых процессов в рамках процесса загрузки).
- Сбор всех учетных данных для входа в систему и файлов конфигурации системы, присутствующих на зараженном хосте, и передача их на сервер C & C его операторов.
Удалить QSnatch с зараженного устройства
В ответ на первоначальные сообщения от 25 октября 2019 года о вредоносной атаке QSnatch, QNAP Systems оперативно предоставила оперативное обновление прошивки для самой ОС QTS, доступное из меню панели управления QTS. Производитель также выпустил обновление для своего приложения для удаления вредоносных программ, доступное в Центре приложений QTS. Хотя этих новых версий Malware Remover - 3.5.4.2 и 4.5.4.2 соответственно - должно быть достаточно для удаления QSnatch с зараженных устройств, пользователи также должны изменить свои уже скомпрометированные учетные данные для входа, чтобы избежать повторного заражения. И последнее, но не менее важное: QNAP призывает клиентов установить приложение QTS Security Counselor (также находится в Центре приложений QTS), чтобы поднять безопасность сети на своих устройствах NAS на более высокий уровень.
В дополнение к упомянутым выше действиям пользователи NAS могут и должны прибегнуть к ряду действий для защиты своих устройств от будущих атак, включая, но не ограничиваясь:
- Держитесь подальше от номеров портов по умолчанию - 8080/81, 443, 80 и 22 и многие другие.
- Активация защиты IP от попыток перебора
- Удаление неактивных учетных записей, подозрительных приложений и неиспользуемых приложений / служб (веб-сервер, SQL Server, SSH, Telnet и т. Д.)
Дополнительные указания о том, как реализовать меры, описанные выше, можно найти в рекомендациях по безопасности системы QNAP, посвященных вредоносному ПО QSnatch.
