美国网络安全局 CISA 与英国国家网络安全中心 NCSC 7 月 27 日报告指出,去年 11 月 QNAP 爆发 QSnatch 恶意程式攻击开始,至今已有近 6.2 万台 QNAP NAS 受感染,QNAP 官方已释出更新程式,但 QSnatch 会修改系统主机档案,让 QNAP NAS 无法更新,CISA、NCSC 建议必须先完全恢复出厂设定,再升级固件,才能从装置彻底清除 QSnatch 。
据英国及美国-研究报告指出,直到 2020 年 6 月,全球将近 6.2 万台 QNAP 装置感染,QSnatch 恶意程式透过 DGA 网域产生算法定期生成不同网域名,并建立 C&C 服务器连线送出 HTTP 封包,将使用者的账户及密码、系统设定档或 log 档内的重要资料,加密传给 C&C 服务器,同时开启 SSH 后门,植入 webshell 供骇客远端存取。
更重要的是,研究人员怀疑 QSnatch 具持续攻击能力,因为即使 QNAP 官方释出更新程式,但恶意程式仍能修改系统档案,将 NAS 更新使用的核心网域名修改为过期版,让已被感染的 QNAP NAS 无法更新。
英美团队研究多月后,仍未查出 QSnatch 恶意程式的背后组织和目的,亦未能查出是透过旧版固件漏洞,还是破解管理员密码入侵 QNAP NAS 装置,可见 QSnatch 的攻击者能力相当高。两国专家建议,所有曾感染 QSnatch 的 QNAP NAS 装置,必须完全恢复出厂设定,再升级固件,才能彻底清除 QSnatch。
- 62,000 QNAP NAS devices infected with persistent QSnatch malware
- CISA says 62,000 QNAP NAS devices have been infected with the QSnatch malware
(本文由 Unwire HK 授权转载;首图来源:QNAP)