2020-08-10 08:32:16
来 源
科技号
NAS存储
分析显示大量受感染的设备。到2020年6月中旬,全球大约有62,000台威联通Qnap受感染的设备。

QNAP NAS设备的恶意软件的潜在遗留风险

摘要

这是美国网络安全和基础设施安全局(CISA)和英国国家网络安全中心(NCSC)的联合警报。

CISA和NCSC正在研究一种名为QSnatch的恶意软件,攻击者于2019年末使用该恶意软件来针对QN??AP公司制造的网络连接存储(NAS)设备。  

如果未使用最新的安全修复程序更新,则所有QNAP NAS设备都可能容易受到QSnatch恶意软件的攻击。开源报告中记录了该恶意软件,已经感染了全球数千台设备,其中北美和欧洲的感染量特别高。此外,一旦设备被感染,攻击者就可以阻止管理员成功运行固件更新。

此警报总结了CISA和NCSC分析的结果,并提供了缓解建议。

技术细节

危害

CISA和NCSC已经确定了两个针对QSnatch恶意软件的活动。第一个战役可能始于2014年初,一直持续到2017年中,而第二个战役始于2018年末,并在2019年底仍在进行中。这两个战役的区别在于使用的初始有效载荷以及功能上的一些差异。此警报重点是第二个活动,因为它是最近的威胁。  

重要的是要注意,两个活动中的恶意网络参与者使用的基础结构当前均未激活,但是威胁仍然存在于未打补丁的设备上。  

尽管目前尚不清楚使用QSnatch的恶意网络参与者的身份和目标,但该恶意软件相对复杂,并且网络参与者表现出对操作安全性的意识。

感染的全球分布  

分析显示大量受感染的设备。到2020年6月中旬,全球大约有62,000台受感染的设备。其中,约有7,600个在美国,3,900个在英国。下面的图1以广泛的地理位置显示了这些设备的位置。

威联通Qnap上QSnatch攻击漏洞说明

图1:被QSnatch感染的QNAP NAS设备的位置

交付和利用

尚未确定感染媒介,但是QSnatch似乎在感染阶段被注入到设备固件中,随后恶意代码在设备中运行,从而破坏了它。然后,攻击者使用以下HTTP GET请求,使用域生成算法(DGA)建立一个命令和控制(C2)通道,该通道定期生成用于C2通信的多个域名:

恶意软件功能  

分析表明,QSnatch恶意软件包含多种功能,例如:  

  • CGI密码记录器  
    • 这会安装设备管理员登录页面的虚假版本,记录成功的身份验证并将其传递到合法的登录页面。
  • 凭证刮刀
  • SSH后门  
    • 这允许网络参与者在设备上执行任意代码。
  • 渗出
    • 运行时,QSnatch会窃取文件的预定列表,其中包括系统配置和日志文件。这些使用参与者的公钥加密,并通过HTTPS发送到其基础结构。
  • 用于远程访问的Webshel??l功能

坚持不懈

通过阻止在受感染的QNAP设备上安装更新,该恶意软件似乎具有持久性。攻击者修改了系统主机的文件,将NAS使用的核心域名重定向到本地过期版本,因此永远无法安装更新。  

样品

声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。