黑客利用一种名为QSnatch的新型恶意软件感染了台湾供应商QNAP的数千个网络连接存储(NAS)设备。
德国计算机紧急响应小组(CERT-Bund)今天说,仅在德国就报告了7,000多次感染。据信,在全球范围内,似乎正在持续爆发的疫情已被数千人感染。
在撰写本文时,关于QSnatch如何工作的信息仍然很少。唯一的报告来自芬兰国家网络安全中心(NCSC-FI),这是上周首个发现该恶意软件的网络安全组织。
NCSC-FI成员尚未发现这种新威胁如何传播和感染QNAP NAS系统。但是,一旦获得对设备的访问权限,QSnatch就会进入固件,以获取重新引导的持久性。
对恶意软件代码的分析揭示了以下功能:
修改操作系统定时作业和脚本(cronjob,init脚本)
通过覆盖更新源URL来防止将来的固件更新
阻止运行本机QNAP MalwareRemover应用
提取并窃取所有NAS用户的用户名和密码
这些功能描述了恶意软件的功能,但没有透露其最终目标。目前尚不清楚是否开发QSnatch来进行DDoS攻击,执行隐藏的加密货币挖掘,或只是作为后门QNAP设备窃取敏感窃取文件或托管恶意软件有效载荷以用于将来操作的一种方式。
一种理论认为,QSnatch运营商目前处于构建僵尸网络的阶段,并将在将来部署其他模块。NCSC-FI分析师证实,QSnatch具有连接到远程命令和控制,下载并运行其他模块的能力。
处理感染
目前,唯一确认的删除QSnatch的方法是对NAS设备进行完全出厂重置。
一些用户报告说,安装2019年2月QNAP NAS固件更新也解决了该问题; 但是,无论是NCSC-FI还是供应商都没有确认这删除了QSnatch或防止了将来的再次感染。
目前,建议QNAP NAS所有者断开其设备与互联网的连接。
NCSC-FI分析师就QSnatch感染的后果提出的其他建议包括:
更改设备上所有帐户的所有密码
从设备中删除未知的用户帐户
确保设备固件是最新的,并且所有应用程序也已更新
从设备中删除未知或未使用的应用程序
通过App Center功能安装QNAP MalwareRemover应用程序
设置设备的访问控制列表(控制面板->安全->安全级别)
QSnatch是今年发现的第四种针对NAS设备的恶意软件,紧随影响Synology设备的勒索软件,以及影响QNAP设备的eCh0raix和Muhstik勒索软件的脚步。
