群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證

紅數位發表於2019-11-01

群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證


成千上萬的威聯通NAS(QNAP NAS)裝置被名為QSnatch的惡意軟體感染,該惡意軟體注入其韌體並繼續竊取憑據並載入從其命令和控制(C2)伺服器中檢索到的惡意程式碼。


群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證


德國計算機緊急響應小組(CERT-Bund)說,基於汙水坑資料,德國目前大約有7,000個NAS裝置受到QSnatch感染的影響。


群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證

在收到來自 受感染NAS裝置的自動報告服務試圖與C2伺服器通訊的報告後,芬蘭國家網路安全中心(NCSC-FI)的研究人員發現了這種惡意軟體。


群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證



最初,該惡意軟體被認為是Caphaw(aka Shylock)銀行惡意軟體的變體,但基於具有威聯通相關引數的C2流量的更詳細調查導致發現了新的QSnatch惡意軟體。


該惡意軟體根據它所針對的裝置和下面詳細介紹的資訊“捕獲”活動接收到QSnatch名稱。


QSnatch感染和惡意活動

儘管尚不知道感染媒介,但研究人員發現QSnatch將在感染階段注入威聯通NAS裝置的韌體中,惡意程式碼“作為裝置內部正常執行的一部分執行”。


一旦設法感染韌體,裝置就會受到威脅,惡意軟體將使用以下形式的HTTP GET請求使用“域生成演算法從C2伺服器檢索更多惡意程式碼”:

HTTP GET https:///qnap_firmware.xml?=t

從C2伺服器下載有效負載後,它將以系統許可權在受感染的威聯通 NAS裝置上執行有效負載,並將執行一系列惡意操作,包括但不限於:


  • 修改了作業系統定時的作業和指令碼(cronjob,init指令碼)
  • 通過完全覆蓋更新源來阻止韌體更新
  • 阻止了威聯通MalwareRemover App的執行
  • 與裝置相關的所有使用者名稱和密碼均已檢索併傳送到C2伺服器
  • 惡意軟體具有模組化功能,可以從C2伺服器載入新功能以進行進一步的活動
  • 將對C2伺服器的回撥活動設定為以設定的間隔執行


如何清理受感染的威聯通NAS裝置

感染了QSnatch惡意軟體後,可以通過完全恢復出廠設定來清理威聯通 NAS裝置,不幸的是,該操作也會徹底清除儲存在受感染裝置上的資料。


但是,由於NCSC-FI研究人員解釋說,這一點尚未得到確認,因此,應用威聯通在2月釋出的安全更新也可能有助於消除QSnatch感染。


群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證


他們的報告說:“ NCSC-FI無法確認更新是否真的刪除了惡意軟體,製造商也承認這一點。”


還建議使用者從裝置中刪除QSnatch感染後,按照以下建議的步驟進行操作,並在需要時在威聯通的支援下提交支援請求(https://www.qnap.com/en/support-ticket/):


  • 更改裝置上所有帳戶的所有密碼
  • 從裝置上刪除未知的使用者帳戶
  • 確保裝置韌體是最新的,並且所有應用程式也已更新
  • 從裝置上刪除未知或未使用的應用程式
  • 安裝威聯通通過App Center功能的MalwareRemover應用程式
  • 設定裝置的訪問控制列表(控制皮膚->安全->安全級別)


NCSC-FI還建議所有NAS所有者保持最新狀態,並藉助防火牆阻止潛在的攻擊來保護它們免受網際網路連線的影響。


專門針對威聯通裝置的惡意軟體

威聯通於10月初發布了有關SQL Server密碼弱且執行phpMyAdmin的NAS裝置的安全公告,裝置容易遭到Muhstik Ransomware攻擊的高危警告。


群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證



8月,另一份安全諮詢詳細介紹了針對eCh0raix勒索軟體(也稱為威聯通勒索)的活動,該活動針對密碼弱且過時的QTS韌體的威聯通NAS裝置。


群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證


安全研究人員和勒索軟體專家BloodDolly一週前在外媒支援主題中釋出了針對某些變體的eCh0raix解密器。


eCh0raix解密器

http://download.bleepingcomputer.com/BloodDolly/ECh0raixDecoder.zip

首先,請從以下連結下載ECh0raixDecoder.exe。

下載後,解壓縮檔案並閱讀隨附的README.txt,以瞭解如何使用該程式。


暴力破解金鑰的最快方法是擁有相同檔案的加密和未加密對,並使用它們來查詢金鑰。通常可以使用C:\ Users \ Public \ Pictures \ Sample Pictures資料夾中的影象來實現。


如果無法做到這一點,則可以使用解密器從任何加密檔案中強行破解密碼,但是此過程可能需要花費幾個小時才能完成。


群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證

從加密檔案中暴力破解金鑰


找到金鑰後,可以將其新增到解密器,然後使用它解密計算機上的檔案。


群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證


威聯通還在2018年5月警告客戶正在進行VPNFilter惡意軟體攻擊,試圖使用管理員帳戶的預設密碼或執行QTS 4.2.6 build 20170628、4.3.3 build 20170703和更早版本來感染威聯通 NAS裝置。


參考:

https://www.qnap.com/en/security-advisory

https://twitter.com/certbund/status/1189890405749460992

https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices



群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證
微信搜尋關注:紅數位,閱讀更多
群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證

群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證

紅數位,混跡安全圈,每日必看!

相關文章