QSnatch-Malware zielt auf QNAP-NAS-Laufwerke

[English]Eine Malware mit dem Namen QSnatch zielt auf Netzwerkspeicher des Herstellers QNAP. Der Hersteller bietet ein Firmware-Update an, um sich vor dieser Malware zu schützen.


Anzeige

Ich hatte es bereits die Tage bei heise gelesen, der Hersteller QNAP hatte aber bereits zum 1. November 2019 diese Sicherheitswarnung vor der QSnatch-Malware veröffentlicht. Das National Cyber Security Center Finland (NCSC-FI) hatte bereits Mitte Oktober 2019 über den Autoreporter-Dienst Berichte über infizierte Geräte erhalten, die versuchen, mit bestimmten Command and Control (C2)-Servern zu kommunizieren.

Dann kam vorige Woche vom Cyber Emergency Response Team (CERT) der finnischen Transport and Communications Agency (NCSC-FI) eine Warnung vor einer neuen Malware.

Die Malware, die Netzwerkspeicher (Network Attached Storages, NAS) des Herstellers QNAP befällt, wurde letzte Woche bei einer Analyse entdeckt und auf den Namen QSnatch getauft. Eine Analyse der Malware ergab folgende Aktionen:

  • Vom Betriebssystem geplante Aufträge und Skripte werden geändert (Cronjob, Initskripte).
  • Firmware-Updates werden verhindert, indem die Update-Quellen vollständig überschrieben werden.
  • QNAP MalwareRemover App wird daran gehindert, ausgeführt zu werden.
  • Alle Benutzernamen und Passwörter, die sich auf das Gerät beziehen, werden abgerufen und an den C2-Server gesendet.
  • Die Malware ist modular aufgebaut, um neue Funktionen von den C2-Servern für weitere Aktivitäten zu laden.
  • Die Call-Home-Aktivität zu den C2-Servern ist so eingestellt, dass sie mit festgelegten Intervallen läuft.

Die Malware modifiziert also die Firmware infizierter QNAP-Geräte, um dauerhaft aktiv zu bleiben. Dabei werden Firmware-Updates der Gerät deaktiviert. QSnatch entwendet zudem die Zugangsdaten des NAS-Speichers und überträgt diese an den Command & Control-Server. Die Malware ist auch in der Lage über diese Server weitere Schadfunktionen nachzuladen. Der Infektionsvektor ist derzeit aber wohl noch unbekannt.

Empfehlungen des Herstellers

Auf Basis der bisherigen Erkenntnisse gibt der Hersteller QNAP seinen Nutzern folgende Handlungsempfehlungen:

  • Aktualisieren Sie QTS-Firmware auf die neueste Version.
  • Installieren und aktualisieren Sie den Sicherheitsberater (Security Counselor) auf die neueste Version.
  • Installieren und aktualisieren Sie Malware Remover auf die neueste Version (sollte mindestens 3.5.4 sein).
  • Verwenden Sie ein stärkeres Admin-Passwort.
  • Aktivieren Sie den IP- und Kontozugriffsschutz, um Brute-Force-Angriffe zu verhindern.
  • Deaktivieren Sie SSH- und Telnet-Verbindungen, wenn Sie diese Dienste nicht nutzen.
    Vermeiden Sie die Verwendung der Standard-Portnummern 443 und 8080.

Aktuell ist aber unklar, ob die Aktualisierung der Firmware gegen die QSnatch-Malware wirklich hilft. Im Juli 2019 gab es bereits eine Warnung vor Ransomware-Befall (siehe Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS). Dort wurden ähnlich Handlungsempfehlungen wie in obiger Liste gegeben.


Anzeige

CERT-Bund schreibt in obigem Tweet, dass auf Basis erhobener Daten bereits ca. 7.000 NAS-Geräte in Deutschland betroffen sind.

System befallen? Abhilfemaßnahmen

Ist ein QNAP-System durch die Malware infiziert, hilft ein komplettes Zurücksetzen des Geräts auf die Werkseinstellungen. Zur Überprüfung, ob das QNAP-Gerät infiziert ist, kann man die neueste Version der Malware Remover-Software ausführen lassen. Bei befallenen Systemen lässt sich der Malware Remover möglicherweise nicht mehr installieren. In diesem Post beschreibt er eine Möglichkeit, wie man die Malware ggf. ohne Zurücksetzen auf Werkseinstellungen wieder los wird.

Bei heise hat ein Nutzer eine Anleitung, wie man das System manuell auf eine Infektion prüft, in diesem Kommentar gepostet. Weitere Informationen finden sich bei heise, beim finnischen CERT, in der QNAP-Sicherheitswarnung und inzwischen bei Bleeping Computer.

Ähnliche Artikel:
Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS
QNAP-NAS und die gekaperten Hosts-Einträge


Anzeige
Dieser Beitrag wurde unter Datenträger, Netzwerk, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.