更多

    針對 QNAP NAS 發動攻擊 德國約 7,000 部 NAS 受感染 QSnatch

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    一種名為 QSnatch 的惡意軟件正威脅 QNAP NAS ,數以千計 QNAP NAS 相信經已被感染。據德國電腦緊急應變小組的誘捕器資料,在德國大約已有 7,000 部 NAS 受到 QSnatch 感染。

    芬蘭國家網絡安全中心( NCSC-FI )的研究人員,是在接獲一部受感染 NAS 自動報告,指該機正試圖與黑客的控制與指揮伺服器 (C2) 通信而被發現的。最初研究人員以為這是另一種銀行惡意軟件 Caphaw (又名 Shylock ),但經過深入調查後,發現它與 C2 伺服器之間的通信裡包含一些有關 QNAP 相關的參數,因而被發現是新的惡意軟件。不過現時研究人員仍未能確認感染途徑,令防禦更感困難。

    QSnatch 針對 QNAP NAS 進行攻擊,但現時仍未能確認感染途徑。
    QSnatch 針對 QNAP NAS 進行攻擊,但現時仍未能確認感染途徑。

    感染 QSnatch 的後果

    據知, QSnatch 會注入目標 NAS 的靭體,偷取登入憑證,並從 C2 伺服器下載惡意程式碼,完成下載後會以系統權限執行以下動作:

    • 修改系統定時任務和腳本( cronjob 、 init 腳本);
    • 透過覆寫更新來源路徑來防止用戶更新靭體;
    • 禁止 QNAP Malware Remover 程式運行;
    • 取得裝置所有用戶名和密碼並傳送到 C2 伺服器;
    • 惡意軟件具有模組功能,可以從 C2 伺服器為日後的行動下載新功能;
    • 設定在一定間隔時間後向 C2 伺服器執行回撥動作。

    怎樣移除 QSnatch ?

    用戶是可以將 NAS 重置回出廠值來移除 QSnatch ,不過這就等同將 NAS 裡儲存的所有檔案也刪除。安裝從 QNAP 網站下載今年 2 月推出的更新也有可能可以清除 QSnatch ,不過這未經芬蘭 NCSC-FI 和 QNAP 方面確認。

    據說 QNAP 在 2 月推出的更新可以消除 QSnatch ,不過未經芬蘭當局和 QNAP 證實。
    據說 QNAP 在 2 月推出的更新可以消除 QSnatch ,不過未經芬蘭當局和 QNAP 證實。

    NCSC-FI 呼籲 QNAP NAS 伺服器用戶在清除了 QSnatch 之後,應該執行以下步驟:

    • 更改裝置上的所有用戶密碼;
    • 移除裝置上所有不明帳戶;
    • 確保裝置靭體為最新版本,同時也需更新所有裝置中的套件;
    • 移除裝置中所有不明或不再使用的程式/套件;
    • 透過 App Center 功能來安裝 QNAP Malware Remover ;
    • 進入「控制台>保安>保安等級」設定裝置存取控制清單;

    同時 NCSC-FI 亦建議所有 NAS 用戶應該保持 NAS 更新,同時透過防火牆來防止 NAS 受到來自互聯網的潛在攻擊。

    您會感興趣的內容

    相關文章