一種名為 QSnatch 的惡意軟件正威脅 QNAP NAS ,數以千計 QNAP NAS 相信經已被感染。據德國電腦緊急應變小組的誘捕器資料,在德國大約已有 7,000 部 NAS 受到 QSnatch 感染。
芬蘭國家網絡安全中心( NCSC-FI )的研究人員,是在接獲一部受感染 NAS 自動報告,指該機正試圖與黑客的控制與指揮伺服器 (C2) 通信而被發現的。最初研究人員以為這是另一種銀行惡意軟件 Caphaw (又名 Shylock ),但經過深入調查後,發現它與 C2 伺服器之間的通信裡包含一些有關 QNAP 相關的參數,因而被發現是新的惡意軟件。不過現時研究人員仍未能確認感染途徑,令防禦更感困難。
感染 QSnatch 的後果
據知, QSnatch 會注入目標 NAS 的靭體,偷取登入憑證,並從 C2 伺服器下載惡意程式碼,完成下載後會以系統權限執行以下動作:
- 修改系統定時任務和腳本( cronjob 、 init 腳本);
- 透過覆寫更新來源路徑來防止用戶更新靭體;
- 禁止 QNAP Malware Remover 程式運行;
- 取得裝置所有用戶名和密碼並傳送到 C2 伺服器;
- 惡意軟件具有模組功能,可以從 C2 伺服器為日後的行動下載新功能;
- 設定在一定間隔時間後向 C2 伺服器執行回撥動作。
怎樣移除 QSnatch ?
用戶是可以將 NAS 重置回出廠值來移除 QSnatch ,不過這就等同將 NAS 裡儲存的所有檔案也刪除。安裝從 QNAP 網站下載今年 2 月推出的更新也有可能可以清除 QSnatch ,不過這未經芬蘭 NCSC-FI 和 QNAP 方面確認。
NCSC-FI 呼籲 QNAP NAS 伺服器用戶在清除了 QSnatch 之後,應該執行以下步驟:
- 更改裝置上的所有用戶密碼;
- 移除裝置上所有不明帳戶;
- 確保裝置靭體為最新版本,同時也需更新所有裝置中的套件;
- 移除裝置中所有不明或不再使用的程式/套件;
- 透過 App Center 功能來安裝 QNAP Malware Remover ;
- 進入「控制台>保安>保安等級」設定裝置存取控制清單;
同時 NCSC-FI 亦建議所有 NAS 用戶應該保持 NAS 更新,同時透過防火牆來防止 NAS 受到來自互聯網的潛在攻擊。