QSnatch

QSnatch說明

qsnatch眾所周知,被稱為QSnatch的惡意軟件威脅將針對台灣QNAP Systems,Inc製造的NAS(網絡附加存儲)設備。芬蘭國家網絡安全中心(NCSC-FI)的惡意軟件研究人員是第一個發現這種行為的人在2019年10月中旬出現了新的威脅。對該中心專有的Autoreporter服務提供的自動報告進行了詳細分析,使他們能夠暴露出許多受QSnatch感染的存儲設備,試圖與遠程C&C(命令與控制)服務器建立通信。儘管芬蘭專家最初認為他們正在處理MS Windows定制的Caphaw惡意軟件,但對C2通信的徹底檢查顯示,該惡意軟件的主要目標是QNAP NAS設備。此後,威聯通(QNAP Systems,Inc.)發布了固件更新,目的是消除所有受感染設備的QSnatch。

QSnatch損壞潛力

研究人員尚未確定由負責人員部署的感染媒介(IV),以在QNAP的硬件之間傳播QSnatch。然而,他們所知道的是QSnatch將其惡意代碼直接植入到主機設備的固件中,然後在QNAP的NAS操作系統QTS中將其作為合法進程運行。一旦運行,QSnatch就會嘗試與可能由同一網絡騙子操作的遠程C&C服務器建立連接。如果成功,則這種連接將允許QSnatch通過“ HTTP GET https://”將其他惡意軟件提取到受感染的設備上。 /qnap_firmware.xml?=t ”要求。

一旦完成,QSnatch惡意軟件將能夠在受感染的主機中引起轟動。根據當前從C2服務器檢索到的惡意模塊(由於QSnatch的模塊化能力,更多潛在的惡意模塊),QSnatch可能能夠:

  • 阻止應用程序和固件應用更新,因為這可能會篡改其惡意行為。
  • 如果用戶已在其PC上安裝了該程序,請禁用QNAP MalwareRemover應用程序。
  • 從攻擊者的C&C服務器引入新的惡意軟件。
  • 更改活動的基於時間的作業計劃程序(cronjobs)和初始化文件(執行初始化腳本以啟動必要的過程,作為啟動過程的一部分的初始化腳本)。
  • 收集受感染主機上存在的所有登錄憑據和系統配置文件,並將它們傳輸到其操作員的C&C服務器。

從受感染的設備中刪除QSnatch

作為對QSnatch惡意軟件攻擊的最初報告於2019年10月25日的回應,QNAP Systems迅速為QTS OS本身提供了實時固件更新,可從QTS控制面板菜單訪問該固件。該供應商還發布了可從QTS的應用程序中心獲取的Malware Remover應用程序的更新。雖然這些新版本的惡意軟件卸妝(分別為3.5.4.2和4.5.4.2)應足以從受感染的設備中刪除QSnatch,但用戶還應更改其已經被破壞的登錄憑據,以避免重新感染。最後但並非最不重要的一點是,QNAP敦促客戶安裝QTS安全顧問應用程序(也位於QTS App Center中),以將其NAS設備的網絡安全性提高到更高的水平。

除上述步驟外,NAS用戶可能並且應該採取多種措施來保護其設備免受將來的攻擊,包括但不限於:

  • 避免使用默認端口號-8080 / 81、443、80和22僅舉幾例
  • 激活IP保護以防止暴力破解
  • 刪除不活動的帳戶,可疑應用程序和未使用的應用程序/服務(Web服務器,SQL Server,SSH,Telnet等)

有關如何實施上述措施的其他指南,請參閱QNAP系統專門針對QSnatch惡意軟件的安全建議

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。