QSnatch
眾所周知,被稱為QSnatch的惡意軟件威脅將針對台灣QNAP Systems,Inc製造的NAS(網絡附加存儲)設備。芬蘭國家網絡安全中心(NCSC-FI)的惡意軟件研究人員是第一個發現這種行為的人在2019年10月中旬出現了新的威脅。對該中心專有的Autoreporter服務提供的自動報告進行了詳細分析,使他們能夠暴露出許多受QSnatch感染的存儲設備,試圖與遠程C&C(命令與控制)服務器建立通信。儘管芬蘭專家最初認為他們正在處理MS Windows定制的Caphaw惡意軟件,但對C2通信的徹底檢查顯示,該惡意軟件的主要目標是QNAP NAS設備。此後,威聯通(QNAP Systems,Inc.)發布了固件更新,目的是消除所有受感染設備的QSnatch。
QSnatch損壞潛力
研究人員尚未確定由負責人員部署的感染媒介(IV),以在QNAP的硬件之間傳播QSnatch。然而,他們所知道的是QSnatch將其惡意代碼直接植入到主機設備的固件中,然後在QNAP的NAS操作系統QTS中將其作為合法進程運行。一旦運行,QSnatch就會嘗試與可能由同一網絡騙子操作的遠程C&C服務器建立連接。如果成功,則這種連接將允許QSnatch通過" HTTP GET https://"將其他惡意軟件提取到受感染的設備上。
一旦完成,QSnatch惡意軟件將能夠在受感染的主機中引起轟動。根據當前從C2服務器檢索到的惡意模塊(由於QSnatch的模塊化能力,更多潛在的惡意模塊),QSnatch可能能夠:
- 阻止應用程序和固件應用更新,因為這可能會篡改其惡意行為。
- 如果用戶已在其PC上安裝了該程序,請禁用QNAP MalwareRemover應用程序。
- 從攻擊者的C&C服務器引入新的惡意軟件。
- 更改活動的基於時間的作業計劃程序(cronjobs)和初始化文件(執行初始化腳本以啟動必要的過程,作為啟動過程的一部分的初始化腳本)。
- 收集受感染主機上存在的所有登錄憑據和系統配置文件,並將它們傳輸到其操作員的C&C服務器。
從受感染的設備中刪除QSnatch
作為對QSnatch惡意軟件攻擊的最初報告於2019年10月25日的回應,QNAP Systems迅速為QTS OS本身提供了實時固件更新,可從QTS控制面板菜單訪問該固件。該供應商還發布了可從QTS的應用程序中心獲取的Malware Remover應用程序的更新。雖然這些新版本的惡意軟件卸妝(分別為3.5.4.2和4.5.4.2)應足以從受感染的設備中刪除QSnatch,但用戶還應更改其已經被破壞的登錄憑據,以避免重新感染。最後但並非最不重要的一點是,QNAP敦促客戶安裝QTS安全顧問應用程序(也位於QTS App Center中),以將其NAS設備的網絡安全性提高到更高的水平。
除上述步驟外,NAS用戶可能並且應該採取多種措施來保護其設備免受將來的攻擊,包括但不限於:
- 避免使用默認端口號-8080 / 81、443、80和22僅舉幾例
- 激活IP保護以防止暴力破解
- 刪除不活動的帳戶,可疑應用程序和未使用的應用程序/服務(Web服務器,SQL Server,SSH,Telnet等)
有關如何實施上述措施的其他指南,請參閱QNAP系統專門針對QSnatch惡意軟件的安全建議 。
