Как избавиться от вредоносного ПО Qsnatch

Сетевые устройства хранения данных или NAS, разработанные QNAP, оказались уязвимыми для вредоносного ПО под названием QSnatch. Это предупреждение соответствует бюллетеню, выпущенному Агентством кибербезопасности и безопасности инфраструктуры США (CISA) совместно с Национальным центром кибербезопасности Великобритании (NCSC).

QNAP создает устройства NAS, которые используются в качестве локального облачного резервного копирования для различных устройств, таких как компьютеры и телефоны, а также многих других программ. Он использует специально созданную операционную систему Linux, что делает вредоносное ПО QSnatch еще более впечатляющим. До сих пор неясно, как распространяется вредоносное ПО, кто является злоумышленниками и каковы их цели.

Что такое вредоносное ПО Qsnatch?

QSnatch — это четвертый штамм вредоносного ПО, обнаруженный в 2020 году и нацеленный на устройства NAS. Этот инцидент произошел после обнаружения штамма программы-вымогателя, поразившего устройства Synology, а также программ-вымогателей eCh0raix и Muhstik, заразивших устройства QNAP.

На этот раз хакеры заразили десятки тысяч сетевых накопителей тайваньского производителя, QNAPс новой вредоносной программой под названием QSnatch.

Различные версии вредоносного ПО QSnatch были обнаружены уже много лет, еще в 2014 и 2017 годах. Службы безопасности выявили две конкретные кампании, направленные на распространение этой инфекции, последняя из которых датируется ноябрем 2019 года.

Интересно, что эксперты по безопасности до сих пор не знают, как распространяется QSnatch, но, похоже, он внедряется в прошивку устройства на этапе заражения, при этом вредоносный код запускается внутри устройства после заражения, тем самым подвергая его компрометации. Весьма вероятно, что злоумышленники воспользовались обнаруженной в прошивке уязвимостью, которую можно использовать удаленно, что позволило внедрить вредоносный код в прошивку.

QSnatch может собирать конфиденциальную информацию с зараженных устройств, включая ваши учетные данные для входа и конфигурацию системы. Из-за этих проблем с утечкой данных зараженные устройства QNAP, которые были «очищены», могут по-прежнему подвергаться риску повторного заражения даже после удаления вредоносного ПО.

По данным Немецкой группы реагирования на компьютерные чрезвычайные ситуации (CERT-Bund), в Германии зарегистрировано более 7000 заражений QSnatch. В июне количество зараженных устройств по всему миру достигло 62 000, из них около 7 600 в США и 3 900 в Великобритании.

Как работает QSnatch

QSnatch — чрезвычайно сложное вредоносное ПО, созданное для кражи учетных данных с помощью регистратора паролей CGI, предоставления хакерам бэкдора SSH, экспорта данных (включая системные конфигурации и файлы журналов) и предоставления функций веб-оболочки для удаленного доступа.

После того как вредоносная программа была установлена ​​на диск NAS, она становится постоянной, изменяя файл хоста и перенаправляя основные доменные имена, используемые диском NAS, на устаревшие локальные версии, предотвращая получение обновлений.

Согласно предупреждениям системы безопасности, новая версия QSnatch поставляется с улучшенным и широким набором функций, включая функциональные возможности модулей, таких как:

  • Регистратор паролей CGI для установки поддельной версии страницы входа администратора устройства, регистрации законных аутентификаций и перенаправления их на законную страницу входа.
  • Парсер учетных данных
  • Бэкдор SSH, позволяющий хакеру выполнять произвольный код на устройстве.
  • Эксфильтрация, которая позволяет QSnatch украсть заданный список файлов, включая конфигурации системы и файлы журналов. Обычно они шифруются открытым ключом хакера и пересылаются в его инфраструктуру по протоколу HTTPS.
  • Функциональность Webshell для удаленного доступа

Хотя экспертам по безопасности удалось проанализировать, на что способна текущая версия вредоносного ПО QSnatch, от них не ускользнул один важный фактор — то, как вредоносное ПО изначально заражает устройства.

Как упоминалось ранее, хакеры могут использовать уязвимости, обнаруженные в прошивке QNAP, или злоумышленники могут использовать общие пароли для учетной записи администратора. К сожалению, ни один из этих методов не может быть проверен без сомнений.

Но как только хакеры закрепились, вредоносная программа QSnatch внедряется в прошивку и получает полный контроль над устройством. Затем он блокирует будущие обновления прошивки, чтобы выжить на зараженном NAS.

Поскольку вредоносное ПО очень стойкое, администраторы не могут устанавливать обновления прошивки. Использование надежного антивируса могут работать для обычных вредоносных программ, но в данном случае они не эффективны. Пользователям необходимо выполнить полный сброс до заводских настроек перед обновлением прошивки и установкой всех последних обновлений, удалив при этом вредоносное ПО.

Как удалить вредоносное ПО Qsnatch

Неясно, было ли это вредоносное ПО создано для DDoS-атак, майнинга криптовалюты или для использования в качестве бэкдора для устройств QNAP, разработанных для кражи конфиденциальных данных или будущих вредоносных программ для хостов.

Но на данный момент единственный успешный метод удаления QSnatch — выполнить полный сброс настроек устройства NAS. После сброса пользователям рекомендуется установить последнюю доступную версию прошивки QNAP NAS.

Если ваша организация была заражена этой вредоносной программой, вот что рекомендует QNAP:

«QNAP обновила свое приложение Malware Remover для операционной системы QTS 1 ноября, чтобы обнаружить и удалить вредоносное ПО из QNAP NAS. 2 ноября QNAP также выпустила обновленные рекомендации по безопасности для решения этой проблемы. Пользователям настоятельно рекомендуется установить последнюю версию приложения Malware Remover из Центра приложений QTS или загрузить вручную с веб-сайта QNAP. QNAP также рекомендует ряд действий для повышения безопасности QNAP NAS. Они также подробно описаны в рекомендациях по безопасности».

Чтобы обновить прошивку до последней версии, перейдите по этой ссылке:

Вы также можете следовать приведенным ниже инструкциям:

  1. Войдите в QTS как администратор.
  2. Перейдите в Панель управления > Система > Обновление прошивки.
  3. Нажмите «Проверить наличие обновлений» в разделе «Обновление в реальном времени».
  4. QTS загружает и устанавливает последнее доступное обновление.

Вам также необходимо обновить встроенное средство удаления вредоносных программ QNAP, выполнив следующие действия:

  1. Войдите в QTS как администратор.
  2. Откройте Центр приложений и нажмите кнопку (+).
  3. Когда появится диалоговое окно ручной установки, прочтите инструкции.
  4. Щелкните Обзор.
  5. Когда появится браузер файлов, найдите и выберите файл установщика.
  6. Щелкните Установить.
  7. Появится подтверждающее сообщение.
  8. Нажмите «ОК».
  9. Теперь QTS должен установить последнюю версию Malware Remover.
  10. Когда появится подтверждающее сообщение, нажмите OK.
  11. Когда появится диалоговое окно необходимых обновлений, нажмите «Обновить сейчас».
  12. QTS должен обновить Malware Remover до последней версии.
  13. Откройте средство удаления вредоносных программ, затем нажмите «Начать сканирование».

Это должно сканировать NAS на наличие вредоносных программ и удалять все обнаруженные угрозы.

Как предотвратить заражение QSnatch

Для предотвращения заражения вредоносным ПО QNAP также настоятельно рекомендует следующие меры безопасности:

  • Смените пароль администратора и используйте уникальный надежный пароль.
  • Измените пароли других пользователей и сделайте их как можно более случайными.
  • Также измените свой пароль QNAP ID.
  • Используйте более надежный корневой пароль базы данных, чтобы его было трудно взломать.
  • Удалите незнакомые или подозрительные учетные записи, созданные вредоносной программой.
  • Включите защиту доступа к IP-адресу и учетной записи, чтобы избежать атак методом грубой силы.
  • Отключите соединения SSH и Telnet, если эти службы не используются.
  • Также отключите веб-сервер, SQL-сервер или приложение phpMyAdmin.
  • Удалите неисправные, неизвестные или подозрительные приложения.
  • Не используйте номера портов по умолчанию, включая 22, 443, 80, 8080 и 8081.
  • Отключите автоматическую настройку маршрутизатора и службы публикации.
  • Ограничьте контроль доступа в myQNAPcloud.

Вышеуказанные шаги должны помешать вашим устройствам QNAP стать целью этих атак. Заражение QSnatch не только подвергает ваши учетные данные риску кражи, все ваши данные также будут удалены, когда вы переформатируете диск NAS для удаления вредоносного ПО. Поэтому, чтобы этого не произошло, обязательно примите строгие меры безопасности на своем диске, пока не стало слишком поздно.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *