QSnatch
Ett skadligt hothot som kallas QSnatch är känt för att rikta in sig på NAS-enheter (Network-Attached Storage) tillverkade av de Taiwan-baserade QNAP Systems, Inc. Malware-forskare vid Finlands National Cyber Security Center (NCSC-FI) var de första som såg aktiviteten i detta nytt hot i mitten av oktober 2019. En detaljerad analys av de automatiska rapporterna som tillhandahålls av centrumets egenutvecklade Autoreporter-tjänst gjorde det möjligt för dem att exponera ett antal QSnatch-infekterade lagringsenheter för att försöka etablera kommunikation med fjärr C & C (Command & Control) servrar. Även om de finska experterna ursprungligen trodde att de hade att göra med MS Windows-skräddarsydda skadliga programvaror från Caphaw, avslöjade en noggrann inspektion av C2-kommunikationen att skadlig kodens främsta mål var QNAP NAS-enheter i stället. QNAP Systems, Inc. har sedan dess publicerat firmwareuppdateringar som syftar till att neutralisera QSnatch från alla sina infekterade enheter.
QSnatch Skadepotential
Forskare har ännu inte fastställt infektionsvektorer (IV: er) som distribueras av skurkarna för att sprida QSnatch bland QNAP: s hårdvara. Vad de emellertid vet är att QSnatch planterar sin skadliga kod direkt i värddatorens firmware och sedan kör den som en legitim process i QTS, QNAPs NAS-anpassade operativsystem. När QSnatch körts försöker upprätta en anslutning med fjärr- och C&C-servrar som förmodligen drivs av samma cyber-skurkar. Om en sådan anslutning lyckas skulle QSnatch kunna hämta ytterligare skadlig programvara på den infekterade enheten via "HTTP GET https: //
När detta är avslutat kommer QSnatch skadlig programvara att kunna orsaka en ganska rörelse i den komprometterade värden. Beroende på den eller de skadliga modulerna som för närvarande hämtas från C2-servern (med mer potential att komma på grund av QSnatchs modulkapacitet) kan QSnatch kunna:
- Att förhindra applikationer och firmware från att tillämpa uppdateringar eftersom det kan manipulera med dess skadliga beteende.
- Inaktivera programmet QNAP MalwareRemover om användarna har installerat det här programmet på sina datorer.
- Sätta in ny skadlig programvara från angriparnas C & C-server.
- Ändra aktiva tidsbaserade jobbschemaläggare (cronjobs) och init-filer (initieringsskript som körs för att starta nödvändiga processer som en del av startprocessen).
- Skörda alla inloggningsuppgifter och systemkonfigurationsfiler som finns på den infekterade värden och överföra dem till C & C-servern för dess operatörer.
Ta bort QSnatch från en infekterad enhet
Som svar på de ursprungliga rapporterna 25 oktober 2019 om QSnatch skadlig attack, tillhandahöll QNAP Systems snabbt en live firmwareuppdatering för själva QTS OS tillgängligt från QTS Control Panel-menyn. Säljaren lade också ut en uppdatering för sin Malware Remover-app tillgänglig från QTSs Appcenter. Även om dessa nya versioner av Malware Remover - 3.5.4.2 respektive 4.5.4.2 - bör vara tillräckligt för att ta bort QSnatch från infekterade enheter, bör användarna också ändra sina redan komprometterade inloggningsuppgifter för att undvika återinfektion. Sist men inte minst har QNAP uppmanat kunderna att installera QTS Security Counselor-appen (finns också i QTS App Center) för att föra nätverkssäkerheten för sina NAS-enheter till en högre nivå.
Förutom stegen som nämns ovan, kan och bör NAS-användare ta till sig ett antal åtgärder för att skydda sina enheter från framtida attacker, inklusive men inte begränsade till:
- Avlägsna standardportnummer - 8080/81, 443, 80 och 22 för att bara nämna några
- Aktivera IP-skydd mot brute-force-försök
- Radera inaktiva konton, misstänkta appar och oanvända appar / tjänster (webbserver, SQL Server, SSH, Telnet, etc.)
Ytterligare vägledning om hur man implementerar de åtgärder som beskrivs ovan kan hittas på QNAP Systems säkerhetsrådgivning specifikt avsedd för QSnatch Malware.
