去年11月NAS设备企业QNAP爆发QSnatch恶意程序攻击。美国及英国安全主管机关昨(27)日发布研究报告指出,迄今全球已将近6.2万台产品遭到感染,而且提醒企业IT人员小心,因为它会阻挠系统安装更新版固件。
根据美国网络安全暨基础架构安全局(CISA)及英国国家网络安全中心(NCSC)的研究,QSnatch曾经爆发两次攻击。第一次是2014年初到2017年中,第二波则由2018年底延续到2019年底,本研究探讨的也是第二波攻击。
第二波感染由德国及芬兰安全主管机关首先披露,当时光是在德国就有超过7,000台QNAP设倍感染,它们因执行旧版固件且打开传输端口转发(port forwarding)功能,而遭QSnatch由互联网入侵。所有版本产品都有风险,QNAP当时已经发布更新版固件,呼吁用户更新。根据美、英政府的研究,到2020年6月中,全球有将近6.2万QNAP设倍感染,其中7,600台和3,900台分别位于美国和英国。总计所有感染机器大多数字于西欧(46%),北美占15%,东欧占8%,其他地区总和为31%。
经过了数个月的研究,QSnatch背后的组织以及它的目的为何目前仍不得而知。此外,它一开始如何进入QNAP,究竟是通过旧版固件的漏洞,还是破解管理员账号密码,研究人员也还不确定。目前可以确定的是QSnatch是一个相当复杂的恶意程序,显见攻击者能力之高。
QSnatch一进入系统中,攻击者就会利用域名产生算法(domain generation algorithm, DGA)定期产生多个域名名以创建C&C服务器连接,发送HTTP调用。另一方面,它拥有多种能力,包括窃取帐密、SSH后门、窃取系统设置或log档在内的重要文件并加密传给C&C服务器、以及植入web shell供黑客远程访问。它还能安装假的CGI设备管理员登录页以记录密码。
值得注意的是,研究人员怀疑QSnatch具备持续攻击的能力。虽然QNAP已经发布更新程序,但是QSnatch会修改系统主机的文件,将NAS更新使用的核心域名名改成过期版本的位置,让机器无法获得更新。
因此虽然发动QSnatch攻击的网络现在已经没在运行,但基于它具有阻挠更新的能力,CISA和NCSC建议,如果用户的设备未曾安装更新版,必须先进行完整的回复出厂设置,再来升级固件。同时,CISA/NCSC也建议曾经感染过、且移除过QSnatch的设备,执行同样措施以避免再次感染。