美国网络安全局CISA与英国国家网络安全中心NCSC 27日发布报告指,由去年11月QNAP爆发QSnatch恶意程序攻击开始,至今已有近6.2万台部QNAP NAS受到感染,而QNAP官方已经发布更新程序,但QSnatch会修改系统主机的文件,让QNAP NAS无法获得更新,CISA、NCSC建议必须先进行完整的回复出厂设置,再升级固件,才能从设备中彻底清除QSnatch。
根据英国及美国政府的研究报告指出,直到2020年6月,全球有将近6.2万部QNAP设倍感染,QSnatch恶意程序通过DGA域名产生算法定期生成不同域名名,并创建C&C服务器连接送出HTTP封包,将用户的账户及密码、系统设置文件或log档内的重要资料,加密传给C&C服务器,同时会打开SSH后门,植入webshell供黑客远程访问。
而更重要的是,研究人员怀疑QSnatch具备持续攻击能力,因为即使QNAP官方已经发布更新程序,但该恶意程序仍能修改系统文件,将NAS更新使用的核心域名名修改成过期版本,令已经被感染的QNAP NAS无法获得更新。
英美两国在研究多月后,仍未查出QSnatch恶意程序的背后组织和目的,也未能查出它是通过旧版固件漏洞,还是破解管理员密码来入侵QNAP NAS设备,可见QSnatch背后的攻击者能力相当高。两国专家建议,所有曾经感染QSnatch的QNAP NAS设备,必须先进行完整的回复出厂设置,再升级固件,才能从设备中彻底清除QSnatch。
数据源 :HELPNETSECURITY,ZDNET