QNAP提醒用户小心QSnatch恶意软件的攻击

近期，网络存储设备（NAS）制造商QNAP敦促客户提高警惕，防止他们的NAS设备遭受恶意软件QSnatch的攻击（该恶意软件会窃取用户的登录凭证）。

QNAP建议用户尽快安装该公司为NAS设备上的QTS操作系统所准备的最新安全防护软件Malware Remover。

Malware Remover的3.5.4.0和4.5.4.0版本在更新了11月1日的规则后现在都可以删除QSnatch恶意软件。

QNAP表示：“我们强烈建议用户从QTS应用中心安装最新版本的Malware Remover，当然也可以从QNAP网站手动下载。如果遇到问题，也可以寻求技术支持。”

QNAP NAS设备正遭受攻击

10月下旬，芬兰国家网络安全中心（NCSC-FI）的研究人员发现，数千台感染了QSnatch恶意软件的QNAP NAS设备的固件被注入了恶意代码。

恶意代码会收集目标设备上所发现的登录凭据，而且还能够从攻击者的服务器中下载并运行恶意代码。

德国计算机应急响应小组（CERT-Bund）当时表示，根据sinkhole的数据，在德国大约有7000台NAS设备受到了QSnatch的影响。

NCSC-FI发现，QSnatch会被注入到QNAP NAS设备的固件，作为设备操作系统的一份子持续运行。

此后，恶意软件会利用“域生成算法从攻击者服务器下载更多恶意代码”。

这些恶意代码在QNAP NAS设备上运行后（若具有系统权限），将执行以下操作：

• 修改操作系统定时脚本

• 修改固件的更新源，阻止固件更新

• MalwareRemover应用被停止运行

• 与设备相关的用户名和密码将被发送到攻击者服务器上

• 从攻击者服务器加载新的恶意代码，用于进一步的破坏

• 定期访问攻击者服务器

保护你的QNAP NAS

QNAP建议用户采取以下措施防御攻击：

1. 将QTS更新到最新版本

2. 安装Security Counselor并更新到最新版本

3. 使用高强度密码

4. 开启IP和帐户访问保护，防止暴力破解

5. 如非必要，请禁用SSH和Telnet连接

6. 避免使用默认端口号443和8080

该公司还提供了关于如何更改设备密码、启用IP和帐户访问保护、禁用SSH和Telnet连接以及更改系统端口号的详细步骤。

这已经不是QNAP的NAS设备第一次遭受大规模攻击，该公司在10月初发布了一份安全警告，称使用了SQL server弱密码以及运行phpMyAdmin的设备受到了Muhstik勒索软件的攻击。

而在8月份，还有一个以弱密码和使用过时QTS的QNAP NAS设备为目标的eCh0raix勒索软件攻击。不过在前不久，勒索软件专家BloodDolly在BleepingComputer上发布了针对某些变种的eCh0raix勒索软件的解密器。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/qnap-warns-users-to-secure-devices-against-qsnatch-malware/