QSnatch

Une menace de malware surnommée QSnatch est connue pour cibler les périphériques NAS (Network-Attached Storage) fabriqués par QNAP Systems, Inc., basé à Taïwan. nouvelle menace à la mi-octobre 2019. Une analyse détaillée des rapports automatiques fournis par le service propriétaire Autoreporter du Centre leur a permis d'exposer un certain nombre de périphériques de stockage infectés par QSnatch essayant d'établir une communication avec des serveurs C&C (Command & Control) distants. Bien que les experts finlandais aient d'abord cru qu'il s'agissait du malware Caphaw adapté à MS Windows, une inspection approfondie de la communication C2 a révélé que les cibles principales du malware étaient plutôt des appareils NAS QNAP. Depuis, QNAP Systems, Inc. a publié des mises à jour du micrologiciel visant à neutraliser QSnatch de tous ses appareils infectés.

Potentiel de dommages QSnatch

Les chercheurs doivent encore déterminer les vecteurs d'infection (IV) déployés par les escrocs en charge de diffuser QSnatch parmi le matériel de QNAP. Ce qu'ils savent cependant, c'est que QSnatch plante son code malveillant directement dans le micrologiciel du périphérique hôte, puis l'exécute en tant que processus légitime dans QTS, le système d'exploitation NAS de QNAP. Une fois exécuté, QSnatch tente d'établir une connexion avec des serveurs C&C distants vraisemblablement exploités par les mêmes cyber-escrocs. En cas de succès, une telle connexion permettrait à QSnatch de récupérer des logiciels malveillants supplémentaires sur le périphérique infecté via le "HTTP GET https: // /qnap_firmware.xml?=t " demande.

Une fois cela terminé, le logiciel malveillant QSnatch sera en mesure de provoquer un remue-ménage dans l'hôte compromis. Selon le ou les modules malveillants actuellement récupérés sur le serveur C2 (avec d'autres potentiellement à venir en raison de la capacité modulaire de QSnatch), QSnatch peut être capable de:

• Empêcher les applications et le micrologiciel d'appliquer des mises à jour car cela pourrait altérer son comportement malveillant.
• Désactiver l'application QNAP MalwareRemover si les utilisateurs ont installé ce programme sur leur PC.
• Introduction de nouveaux logiciels malveillants à partir du serveur C&C des attaquants.
• Modification des planificateurs de travaux basés sur le temps actifs (cronjobs) et des fichiers d'initialisation (scripts d'initialisation qui sont exécutés pour démarrer les processus nécessaires dans le cadre du processus de démarrage).
• Récupérer tous les identifiants de connexion et les fichiers de configuration système présents sur l'hôte infecté et les transférer sur le serveur C&C de ses opérateurs.

Supprimer QSnatch d'un appareil infecté

En réponse aux premiers rapports du 25 octobre 2019 sur l'attaque du logiciel malveillant QSnatch, QNAP Systems a rapidement fourni une mise à jour du firmware en direct pour le système d'exploitation QTS lui-même accessible à partir du menu du panneau de configuration QTS. Le fournisseur a également publié une mise à jour pour son application Malware Remover, disponible dans le centre d'applications de QTS. Bien que ces nouvelles versions de Malware Remover - 3.5.4.2 et 4.5.4.2, respectivement - devraient être suffisantes pour supprimer QSnatch des appareils infectés, les utilisateurs doivent également modifier leurs informations d'identification déjà compromises pour éviter la réinfection. Enfin et surtout, QNAP a exhorté les clients à installer l'application QTS Security Counselor (également disponible dans le QTS App Center) pour porter la sécurité du réseau de leurs appareils NAS à un niveau supérieur.

En plus des étapes mentionnées ci-dessus, les utilisateurs de NAS peuvent et doivent recourir à un certain nombre d'actions pour protéger leurs appareils contre les attaques futures, y compris mais sans s'y limiter:

• Évitez les numéros de port par défaut - 8080/81, 443, 80 et 22 pour n'en nommer que quelques-uns
• Activation de la protection IP contre les tentatives de force brute
• Suppression de comptes inactifs, d'applications suspectes et d'applications / services inutilisés (serveur Web, SQL Server, SSH, Telnet, etc.)

Des conseils supplémentaires sur la façon de mettre en œuvre les mesures décrites ci-dessus peuvent être consultés dans l' avis de sécurité de QNAP System dédié spécifiquement au logiciel malveillant QSnatch.