台灣的QNAP NAS近日傳出遭到一隻可關閉防毒軟體且修改系統設定的惡意程式感染,光是在德國就有超過7,000台機器中標。

德國政府緊急回應中心(CERT)周一公告,其誘捕系統資料顯示,該國境內有7,000台QNAP NAS遭一隻名為QSnatch的惡意程式感染。他們因為執行舊版韌體且開啟傳輸埠轉發(port forwarding)功能,而遭惡意程式由網際網路感染。

芬蘭運輸通訊局國家網路安全中心(NCSC-FI)10月中也接到QSnatch的感染通報。原先它被誤認為專門鎖定Windows伺服器的惡意程式Caphaw,但研究顯示它似乎專門鎖定QNAP裝置。

QSnatch源自何處、是否和哪個駭客組織有關、以及感染手法目前尚不清楚。但是它在進入受害系統後,系統韌體會被注入惡意程式碼,程式就會成為該系統日常運作的一部份。它會利用網域產生演算法(domain generation algorithm)向一台外部C&C伺服器建立HTTP連線取得惡意程式。

然後QSnatch在作業系統內以管理員權限執行。研究人員發現它這時可能會修改OS cronjob作業排程和init-scripts、覆寫更新來源以防韌體更新、關閉QNAP的防毒程式MalwareRemover App,並將用戶名稱和密碼回傳C&C 伺服器。它還有模組化可從C&C 伺服器下載新功能,而且能設定間隔一定期間呼叫C&C 伺服器。

受影響的QNAP系統包括QTS 4.2.6 build 20181227、QTS 4.3.3 build 20190102、QTS 4.3.4 build 20190102、以及QTS 4.3.6 build 20181228 與之前版本。雖然QNAP已經於今年2月發佈修補程式,但是這家廠商當時坦承只靠韌體更新不保證一定可防止QSnatch,得同時搭配掃描軟體排除既有檔案中的惡意程式,因此芬蘭主管機關建議將系統進行完全回復出廠設定,以便確實摧毁所有已儲存資料。此外,企業也應重設所有密碼、移除未知使用者帳號和不明app、確保更新到最新版韌體、利用QNAP的App Center安裝(且更新)QNAP MalwareRemover且設定存取控制表(access control list),並且一定要加裝防火牆防護,避免直接暴露於網際網路。

【2019/11/6更新】QNAP於11月1日也釋出軟體更新,在Malware Remover軟體中新增可用來排除QSnatch惡意程式的偵測規則,QNAP官方建議,目前沒有發現新的、還未修補的弱點,但半年來QSnatch已出現變種,顧客最好將韌體和作業系統更新到最新版,搭配QNAP最新版MalwareRemover來預防。


Advertisement

更多 iThome相關內容