台湾的QNAP NAS近日传出遭到一只可关闭杀毒软件且修改系统设置的恶意程序感染,光是在德国就有超过7,000台机器中标。
德国政府紧急回应中心(CERT)周一公告,其诱捕系统数据显示,该国境内有7,000台QNAP NAS遭一只名为QSnatch的恶意程序感染。他们因为执行旧版固件且打开传输端口转发(port forwarding)功能,而遭恶意程序由互联网感染。
芬兰运输通信局国家网络安全中心(NCSC-FI)10月中也接到QSnatch的感染通报。原先它被误认为专门锁定Windows服务器的恶意程序Caphaw,但研究显示它似乎专门锁定QNAP设备。
QSnatch源自何处、是否和哪个黑客组织有关、以及感染手法目前尚不清楚。但是它在进入受害系统后,系统固件会被注入恶意程序代码,程序就会成为该系统日常运行的一部分。它会利用域名产生算法(domain generation algorithm)向一台外部C&C服务器创建HTTP连接取得恶意程序。
然后QSnatch在操作系统内以管理员权限执行。研究人员发现它这时可能会修改OS cronjob作业调度和init-scripts、复写更新来源以防固件更新、关闭QNAP的杀毒程序MalwareRemover App,并将用户名称和密码回传C&C服务器。它还有模块化可从C&C服务器下载新功能,而且能设置间隔一定期间调用C&C服务器。
受影响的QNAP系统包括QTS 4.2.6 build 20181227、QTS 4.3.3 build 20190102、QTS 4.3.4 build 20190102、以及QTS 4.3.6 build 20181228与之前版本。虽然QNAP已经于今年2月发布修补程序,但是这家厂商坦承固件更新不保证一定可防止QSnatch,因此芬兰主管机关建议将系统进行完全回复出厂设置,以便确实摧毁所有已存储数据。此外,企业也应重设所有密码、移除未知用户账号和不明app、确保更新到最新版固件、利用QNAP的App Center安装(且更新)QNAP MalwareRemover且设置访问控制表(access control list),并且一定要加装防火墙防护,避免直接暴露于互联网。