QSnatch
Es ist bekannt, dass eine als QSnatch bezeichnete Malware-Bedrohung auf NAS-Geräte (Network-Attached Storage) abzielt, die vom taiwanesischen Unternehmen QNAP Systems, Inc. hergestellt wurden. Malware-Forscher des finnischen National Cyber Security Center (NCSC-FI) haben als erste die Aktivität dieser Geräte entdeckt neue Bedrohung Mitte Oktober 2019. Durch eine detaillierte Analyse der automatischen Berichte, die vom proprietären Autoreporter-Dienst des Centers bereitgestellt wurden, konnten sie eine Reihe von QSnatch-infizierten Speichergeräten ausfindig machen, die versuchen, eine Kommunikation mit Remote-C & C-Servern (Command & Control) herzustellen. Obwohl die finnischen Experten anfangs glaubten, mit der auf Windows zugeschnittenen Caphaw-Malware umzugehen, ergab eine gründliche Überprüfung der C2-Kommunikation, dass die Hauptziele der Malware QNAP-NAS-Geräte waren. QNAP Systems, Inc. hat seitdem Firmware-Updates herausgegeben, um QSnatch von allen infizierten Geräten zu neutralisieren.
QSnatch-Schadenspotential
Die Forscher müssen noch die Infektionsvektoren (IVs) bestimmen, die von den für die Verbreitung von QSnatch auf der QNAP-Hardware verantwortlichen Gaunern eingesetzt werden. Sie wissen jedoch, dass QSnatch seinen schädlichen Code direkt in die Firmware des Hostgeräts einfügt und ihn dann als legitimen Prozess in QTS, dem auf NAS zugeschnittenen QNAP-Betriebssystem, ausführt. Sobald QSnatch ausgeführt wird, versucht es, eine Verbindung zu Remote-C & C-Servern herzustellen, die vermutlich von denselben Cyber-Gaunern betrieben werden. Wenn eine solche Verbindung erfolgreich ist, kann QSnatch über "HTTP GET https: //" zusätzliche Malware auf das infizierte Gerät holen.
Sobald dies abgeschlossen ist, kann die QSnatch-Malware auf dem infizierten Host für Aufsehen sorgen. Abhängig von den derzeit vom C2-Server abgerufenen bösartigen Modulen (möglicherweise aufgrund der modularen Kapazität von QSnatch) kann QSnatch Folgendes ausführen:
- Verhindern, dass Anwendungen und Firmware Updates anwenden, da dies das böswillige Verhalten beeinträchtigen kann.
- Deaktivieren der QNAP MalwareRemover-Anwendung, wenn die Benutzer dieses Programm auf ihren PCs installiert haben.
- Bringen Sie neue Malware vom C & C-Server der Angreifer ein.
- Ändern aktiver zeitbasierter Job-Scheduler (Cronjobs) und Init-Dateien (Initialisierungsskripten, die ausgeführt werden, um die erforderlichen Prozesse im Rahmen des Startvorgangs zu starten).
- Ernten Sie alle Anmeldeinformationen und Systemkonfigurationsdateien, die auf dem infizierten Host vorhanden sind, und übertragen Sie sie auf den C & C-Server seiner Bediener.
Entfernen Sie QSnatch von einem infizierten Gerät
Als Reaktion auf die ersten Berichte vom 25. Oktober 2019 über den QSnatch-Malware-Angriff stellte QNAP Systems schnell ein Live-Firmware-Update für das QTS-Betriebssystem selbst bereit, das über das Menü QTS-Systemsteuerung aufgerufen werden kann. Der Anbieter hat auch ein Update für seine Malware Remover-App veröffentlicht, das im QTS App Center erhältlich ist. Während diese neuen Versionen von Malware Remover (3.5.4.2 bzw. 4.5.4.2) ausreichen sollten, um QSnatch von infizierten Geräten zu entfernen, sollten Benutzer auch ihre bereits gefährdeten Anmeldeinformationen ändern, um eine erneute Infektion zu vermeiden. Last but not least hat QNAP Kunden aufgefordert, die QTS Security Counselor-App (ebenfalls im QTS App Center verfügbar) zu installieren, um die Netzwerksicherheit ihrer NAS-Geräte auf ein höheres Niveau zu heben.
Zusätzlich zu den oben genannten Schritten können und sollten NAS-Benutzer auf eine Reihe von Maßnahmen zurückgreifen, um ihre Geräte vor zukünftigen Angriffen zu schützen, einschließlich, aber nicht beschränkt auf:
- Vermeiden Sie Standard-Portnummern - 8080/81, 443, 80 und 22, um nur einige zu nennen
- IP-Schutz gegen Brute-Force-Versuche aktivieren
- Löschen inaktiver Konten, verdächtiger Apps und nicht verwendeter Apps / Dienste (Webserver, SQL Server, SSH, Telnet usw.)
Weitere Anleitungen zur Implementierung der oben beschriebenen Maßnahmen finden Sie in der QNAP- Sicherheitsempfehlung, die speziell der QSnatch-Malware gewidmet ist.
