群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證
成千上萬的威聯通NAS(QNAP NAS)裝置被名為QSnatch的惡意軟體感染,該惡意軟體注入其韌體並繼續竊取憑據並載入從其命令和控制(C2)伺服器中檢索到的惡意程式碼。
德國計算機緊急響應小組(CERT-Bund)說,基於汙水坑資料,德國目前大約有7,000個NAS裝置受到QSnatch感染的影響。
在收到來自 受感染NAS裝置的自動報告服務試圖與C2伺服器通訊的報告後,芬蘭國家網路安全中心(NCSC-FI)的研究人員發現了這種惡意軟體。
最初,該惡意軟體被認為是Caphaw(aka Shylock)銀行惡意軟體的變體,但基於具有威聯通相關引數的C2流量的更詳細調查導致發現了新的QSnatch惡意軟體。
該惡意軟體根據它所針對的裝置和下面詳細介紹的資訊“捕獲”活動接收到QSnatch名稱。
QSnatch感染和惡意活動
儘管尚不知道感染媒介,但研究人員發現QSnatch將在感染階段注入威聯通NAS裝置的韌體中,惡意程式碼“作為裝置內部正常執行的一部分執行”。
一旦設法感染韌體,裝置就會受到威脅,惡意軟體將使用以下形式的HTTP GET請求使用“域生成演算法從C2伺服器檢索更多惡意程式碼”:
HTTP GET https:///qnap_firmware.xml?=t
從C2伺服器下載有效負載後,它將以系統許可權在受感染的威聯通 NAS裝置上執行有效負載,並將執行一系列惡意操作,包括但不限於:
- 修改了作業系統定時的作業和指令碼(cronjob,init指令碼)
- 透過完全覆蓋更新源來阻止韌體更新
- 阻止了威聯通MalwareRemover App的執行
- 與裝置相關的所有使用者名稱和密碼均已檢索併傳送到C2伺服器
- 惡意軟體具有模組化功能,可以從C2伺服器載入新功能以進行進一步的活動
- 將對C2伺服器的回撥活動設定為以設定的間隔執行
如何清理受感染的威聯通NAS裝置
感染了QSnatch惡意軟體後,可以透過完全恢復出廠設定來清理威聯通 NAS裝置,不幸的是,該操作也會徹底清除儲存在受感染裝置上的資料。
但是,由於NCSC-FI研究人員解釋說,這一點尚未得到確認,因此,應用威聯通在2月釋出的安全更新也可能有助於消除QSnatch感染。
他們的報告說:“ NCSC-FI無法確認更新是否真的刪除了惡意軟體,製造商也承認這一點。”
還建議使用者從裝置中刪除QSnatch感染後,按照以下建議的步驟進行操作,並在需要時在威聯通的支援下提交支援請求(https://www.qnap.com/en/support-ticket/):
- 更改裝置上所有帳戶的所有密碼
- 從裝置上刪除未知的使用者帳戶
- 確保裝置韌體是最新的,並且所有應用程式也已更新
- 從裝置上刪除未知或未使用的應用程式
- 安裝威聯通透過App Center功能的MalwareRemover應用程式
- 設定裝置的訪問控制列表(控制皮膚->安全->安全級別)
NCSC-FI還建議所有NAS所有者保持最新狀態,並藉助防火牆阻止潛在的攻擊來保護它們免受網際網路連線的影響。
專門針對威聯通裝置的惡意軟體
威聯通於10月初發布了有關SQL Server密碼弱且執行phpMyAdmin的NAS裝置的安全公告,裝置容易遭到Muhstik Ransomware攻擊的高危警告。
8月,另一份安全諮詢詳細介紹了針對eCh0raix勒索軟體(也稱為威聯通勒索)的活動,該活動針對密碼弱且過時的QTS韌體的威聯通NAS裝置。
安全研究人員和勒索軟體專家BloodDolly一週前在外媒支援主題中釋出了針對某些變體的eCh0raix解密器。
eCh0raix解密器
http://download.bleepingcomputer.com/BloodDolly/ECh0raixDecoder.zip
首先,請從以下連結下載ECh0raixDecoder.exe。
下載後,解壓縮檔案並閱讀隨附的README.txt,以瞭解如何使用該程式。
暴力破解金鑰的最快方法是擁有相同檔案的加密和未加密對,並使用它們來查詢金鑰。通常可以使用C:\ Users \ Public \ Pictures \ Sample Pictures資料夾中的影像來實現。
如果無法做到這一點,則可以使用解密器從任何加密檔案中強行破解密碼,但是此過程可能需要花費幾個小時才能完成。
從加密檔案中暴力破解金鑰
找到金鑰後,可以將其新增到解密器,然後使用它解密計算機上的檔案。
威聯通還在2018年5月警告客戶正在進行VPNFilter惡意軟體攻擊,試圖使用管理員帳戶的預設密碼或執行QTS 4.2.6 build 20170628、4.3.3 build 20170703和更早版本來感染威聯通 NAS裝置。
參考:
https://www.qnap.com/en/security-advisory
https://twitter.com/certbund/status/1189890405749460992
https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices
相關文章
- Synology警告惡意軟體透過暴力攻擊用勒索軟體感染NAS裝置
- 美國癌症協會線上商店感染了信用卡盜竊惡意軟體
- 群暉NAS安裝小雅DockerDocker
- Windows使用者注意!“紫狐”惡意軟體來襲Windows
- 微軟研究:非正版軟體惡意軟體感染率為80%微軟
- 你的Android裝置有惡意軟體嗎?Android
- 載入頁面:網站如何導致使用者感染惡意軟體網站
- 新型惡意軟體 FFDorider :以近乎完美的偽裝竊取使用者個人資訊IDE
- 每週下載數百萬次!惡意軟體包感染Linux和Windows裝置引發供應鏈攻擊LinuxWindows
- 警惕破解軟體!APS 竊密木馬已感染萬餘臺裝置
- 群暉NAS如何裝載遠端資料夾
- 針對資訊竊取惡意軟體AZORult的分析
- 五萬 Minecraft 使用者感染了格式化硬碟的惡意程式Raft硬碟
- 群暉NAS不明佔用如何排查
- 千萬部安卓手機中招,惡意軟體每月竊取數百萬英鎊安卓
- 新型Windows惡意軟體正在針對Linux、macOS裝置WindowsLinuxMac
- Lookout:預計2013年1840萬Android使用者感染惡意軟體Android
- 群暉NAS IP封鎖怎麼解除
- 您的網站如何導致訪問者感染惡意軟體網站
- 印度核電公司(NPCIL)官方證實:Kudankulam核電站的確感染了朝鮮Dtrack變種惡意軟體
- 谷歌OAuth驗證系統曝漏洞,惡意軟體能夠用以竊取Google帳戶谷歌OAuthGo
- 竊取終端資料成本低,謹防Formbook惡意軟體入侵竊密ORM
- Synology群暉NAS共享檔案的方法
- 如何解決群暉NAS外網對映
- 蘋果iOS全新惡意軟體:專門攻擊未越獄裝置蘋果iOS
- 50多個惡意安卓應用繞過Google Play,感染了3000萬安卓使用者安卓Go
- 惡意谷歌 Chrome 擴充套件竊取了至少價值 16000 美元的加密貨幣谷歌Chrome套件加密
- Trickbot惡意軟體又又又升級了!
- Bashlite惡意軟體陰魂未散:智慧裝置面臨新考驗
- 群暉NAS忘記密碼如何重置密碼密碼
- 群暉NAS ssh 刪除快取 釋放空間快取
- 首個針對蘋果M1晶片的惡意軟體來了!蘋果晶片
- 史丹佛大學:三年內有2.8億人安裝了受惡意軟體感染的Chrome瀏覽器擴充套件Chrome瀏覽器套件
- 惡意解除安裝oracle軟體恢復方法Oracle
- 群暉(Synology)NAS網路儲存伺服器伺服器
- 如何設定透過TeamViewer連線群暉NASView
- 群暉NAS設定IPV6公網訪問
- 超過5000個安裝!新的Android惡意軟體利用VNC監視和竊取受害者密碼AndroidVNC密碼