去年11月NAS設備業者QNAP爆發QSnatch惡意程式攻擊。美國及英國資安主管機關昨(27)日發布研究報告指出,迄今全球已將近6.2萬臺產品遭到感染,而且提醒企業IT人員小心,因為它會阻撓系統安裝更新版韌體。

根據美國網路安全暨基礎架構安全署(CISA)及英國國家網路安全中心(NCSC)的研究,QSnatch曾經爆發兩次攻擊。第一次是2014年初到2017年中,第二波則由2018年底延續到2019年底,本研究探討的也是第二波攻擊。

第二波感染由德國及芬蘭資安主管機關首先揭露,當時光是在德國就有超過7,000臺QNAP設備感染,它們因執行舊版韌體且開啟傳輸埠轉發(port forwarding)功能,而遭QSnatch由網際網路入侵。所有版本產品都有風險,QNAP當時已經釋出更新版韌體,呼籲用戶更新。根據美、英政府的研究,到2020年6月中,全球有將近6.2萬QNAP裝置感染,其中7,600臺和3,900臺分別位於美國和英國。總計所有感染機器大多數位於西歐(46%),北美占15%,東歐占8%,其他地區總和為31%。

經過了數個月的研究,QSnatch背後的組織以及它的目的為何目前仍不得而知。此外,它一開始如何進入QNAP,究竟是透過舊版韌體的漏洞,還是破解管理員帳號密碼,研究人員也還不確定。目前可以確定的是QSnatch是一個相當複雜的惡意程式,顯見攻擊者能力之高。

QSnatch一進入系統中,攻擊者就會利用網域產生演算法(domain generation algorithm, DGA)定期產生多個網域名以建立C&C伺服器連線,發送HTTP呼叫。另一方面,它擁有多種能力,包括竊取帳密、SSH後門、竊取系統設定或log檔在內的重要檔案並加密傳給C&C伺服器、以及植入web shell供駭客遠端存取。它還能安裝假的CGI裝置管理員登入頁以記錄密碼。

值得注意的是,研究人員懷疑QSnatch具備持續攻擊的能力。雖然QNAP已經釋出更新程式,但是QSnatch會修改系統主機的檔案,將NAS更新使用的核心網域名改成過期版本的位置,讓機器無法獲得更新。

因此雖然發動QSnatch攻擊的網路現在已經沒在運作,但基於它具有阻撓更新的能力,CISA和NCSC建議,如果用戶的設備未曾安裝更新版,必須先進行完整的回復出廠設定,再來升級韌體。同時,CISA/NCSC也建議曾經感染過、且移除過QSnatch的設備,執行同樣措施以避免再次感染。


Advertisement

更多 iThome相關內容