QSnatch
众所周知,被称为QSnatch的恶意软件威胁将针对台湾QNAP Systems,Inc制造的NAS(网络附加存储)设备。芬兰国家网络安全中心(NCSC-FI)的恶意软件研究人员是第一个发现这种行为的人在2019年10月中旬出现了新的威胁。对该中心专有的Autoreporter服务提供的自动报告进行了详细分析,使他们能够暴露出许多受QSnatch感染的存储设备,试图与远程C&C(命令与控制)服务器建立通信。尽管芬兰专家最初认为他们正在处理MS Windows定制的Caphaw恶意软件,但对C2通信的彻底检查显示,该恶意软件的主要目标是QNAP NAS设备。此后,威联通(QNAP Systems,Inc.)发布了固件更新,目的是消除所有受感染设备的QSnatch。
QSnatch损坏潜力
研究人员尚未确定由负责人员部署的感染媒介(IV),以在QNAP的硬件之间传播QSnatch。但是,他们真正知道的是QSnatch将其恶意代码直接植入到主机设备的固件中,然后在QNAP(QNAP针对NAS定制的操作系统)中作为合法进程运行它。一旦运行,QSnatch就会尝试与可能由同一网络骗子操作的远程C&C服务器建立连接。如果成功,则这种连接将允许QSnatch通过" HTTP GET https://"将其他恶意软件提取到受感染的设备上。
一旦完成,QSnatch恶意软件将能够在受感染的主机中引起轰动。根据当前从C2服务器检索到的恶意模块(由于QSnatch的模块化功能,更多的潜在可能性),QSnatch可能能够:
- 阻止应用程序和固件应用更新,因为这可能会篡改其恶意行为。
- 如果用户已在其PC上安装了该程序,请禁用QNAP MalwareRemover应用程序。
- 从攻击者的C&C服务器引入新的恶意软件。
- 更改活动的基于时间的作业计划程序(cronjobs)和初始化文件(执行初始化脚本以作为启动过程的一部分而执行的初始化脚本)。
- 收集受感染主机上存在的所有登录凭据和系统配置文件,并将它们传输到其操作员的C&C服务器。
从受感染的设备中删除QSnatch
作为对QSnatch恶意软件攻击的最初报告于2019年10月25日的回应,QNAP Systems迅速为QTS OS本身提供了实时固件更新,可从QTS控制面板菜单访问该固件。供应商还发布了其可从QTS的应用程序中心获取的恶意软件删除器应用程序的更新。虽然这些新版本的恶意软件卸妆-分别为3.5.4.2和4.5.4.2-足以从受感染的设备中删除QSnatch,但用户还应更改其已经被破坏的登录凭据,以避免重新感染。最后但并非最不重要的一点是,QNAP敦促客户安装QTS安全顾问应用程序(也位于QTS App Center中),以将其NAS设备的网络安全性提高到更高的水平。
除上述步骤外,NAS用户可能并且应该采取多种措施来保护其设备免受将来的攻击,包括但不限于:
- 避免使用默认端口号-8080 / 81、443、80和22仅举几例
- 激活IP保护以防止暴力破解
- 删除不活动的帐户,可疑应用程序和未使用的应用程序/服务(Web服务器,SQL Server,SSH,Telnet等)
有关如何实施上述措施的其他指南,可以在专门针对QSnatch恶意软件的QNAP System的安全公告中找到。
