超过62000台QNAP NAS设备感染了QSnatch数据窃取恶意软件

美国和英国的网络安全机构昨日就台湾公司QNAP的网络连接存储（NAS）设备正在受到的大规模恶意软件威胁发布了联合建议。

据称，自去年10月出现报告以来，这种被称为QSnatch（或Derek）的窃取数据恶意软件已经危害了62000台设备，西欧和北美的感染程度很高。

美国网络安全与基础设施安全局（CISA）和英国国家网络安全中心（NCSC）在警报中表示：“如果没有更新最新的安全补丁，所有QNAP NAS设备都可能容易受到QSnatch恶意软件的攻击”。

“此外，一旦设备被感染，攻击者可以阻止管理员成功运行固件更新。”

妥协模式，即感染媒介，仍不清楚，但CISA和NCSC表示，第一次行动可能始于2014年，并持续到2017年年中，然后在过去几个月里加剧，在美国感染约7600台设备，在英国感染约3900台设备。

据德国计算机应急响应小组（CERT Bund）称，截至2019年10月，仅在德国就有7000多台NAS设备成为恶意软件的目标。

尽管这两次竞选中的坏角色所使用的基础设施目前都不活跃，第二波攻击涉及在感染阶段注入恶意软件，然后使用域生成算法（DGA）建立命令和控制（C2）通道，以便与受感染主机进行远程通信，并过滤敏感数据。




“这两次战役的区别在于使用的初始有效载荷以及能力上的一些差异，”这些机构说。

QSnatch的最新版本具有广泛的功能，包括一个CGI密码记录器（使用假管理员登录屏幕捕获密码）、一个凭证刮板、一个能够执行任意代码的SSH后门，以及一个远程访问设备的web shell功能。

此外，该恶意软件通过阻止在受感染的QNAP设备上安装更新来获得持久性，这是通过“将NAS使用的核心域名重定向到本地过期版本，以便永远无法安装更新”来实现的

这两个机构已敦促各组织确保其设备之前没有受到损害，如果是这样，在执行固件升级之前，在设备上运行完整的出厂重置。还建议遵循QNAP的安全建议，通过以下步骤预防感染。

CISA和NCSC建议，作为针对QSnatch的额外缓解措施的一部分，“验证您从信誉良好的来源购买了QNAP设备”。“当设备严格用于内部存储时，阻止外部连接。”