QSnatch-Malware zielt auf QNAP-NAS-Laufwerke

[English]Eine Malware mit dem Namen QSnatch zielt auf Netzwerkspeicher des Herstellers QNAP. Der Hersteller bietet ein Firmware-Update an, um sich vor dieser Malware zu schützen.


Anzeige

Ich hatte es bereits die Tage bei heise gelesen, der Hersteller QNAP hatte aber bereits zum 1. November 2019 diese Sicherheitswarnung vor der QSnatch-Malware veröffentlicht. Das National Cyber Security Center Finland (NCSC-FI) hatte bereits Mitte Oktober 2019 über den Autoreporter-Dienst Berichte über infizierte Geräte erhalten, die versuchen, mit bestimmten Command and Control (C2)-Servern zu kommunizieren.

Dann kam vorige Woche vom Cyber Emergency Response Team (CERT) der finnischen Transport and Communications Agency (NCSC-FI) eine Warnung vor einer neuen Malware.

Die Malware, die Netzwerkspeicher (Network Attached Storages, NAS) des Herstellers QNAP befällt, wurde letzte Woche bei einer Analyse entdeckt und auf den Namen QSnatch getauft. Eine Analyse der Malware ergab folgende Aktionen:

  • Vom Betriebssystem geplante Aufträge und Skripte werden geändert (Cronjob, Initskripte).
  • Firmware-Updates werden verhindert, indem die Update-Quellen vollständig überschrieben werden.
  • QNAP MalwareRemover App wird daran gehindert, ausgeführt zu werden.
  • Alle Benutzernamen und Passwörter, die sich auf das Gerät beziehen, werden abgerufen und an den C2-Server gesendet.
  • Die Malware ist modular aufgebaut, um neue Funktionen von den C2-Servern für weitere Aktivitäten zu laden.
  • Die Call-Home-Aktivität zu den C2-Servern ist so eingestellt, dass sie mit festgelegten Intervallen läuft.

Die Malware modifiziert also die Firmware infizierter QNAP-Geräte, um dauerhaft aktiv zu bleiben. Dabei werden Firmware-Updates der Gerät deaktiviert. QSnatch entwendet zudem die Zugangsdaten des NAS-Speichers und überträgt diese an den Command & Control-Server. Die Malware ist auch in der Lage über diese Server weitere Schadfunktionen nachzuladen. Der Infektionsvektor ist derzeit aber wohl noch unbekannt.


Anzeige

Empfehlungen des Herstellers

Auf Basis der bisherigen Erkenntnisse gibt der Hersteller QNAP seinen Nutzern folgende Handlungsempfehlungen:

  • Aktualisieren Sie QTS-Firmware auf die neueste Version.
  • Installieren und aktualisieren Sie den Sicherheitsberater (Security Counselor) auf die neueste Version.
  • Installieren und aktualisieren Sie Malware Remover auf die neueste Version (sollte mindestens 3.5.4 sein).
  • Verwenden Sie ein stärkeres Admin-Passwort.
  • Aktivieren Sie den IP- und Kontozugriffsschutz, um Brute-Force-Angriffe zu verhindern.
  • Deaktivieren Sie SSH- und Telnet-Verbindungen, wenn Sie diese Dienste nicht nutzen.
    Vermeiden Sie die Verwendung der Standard-Portnummern 443 und 8080.

Aktuell ist aber unklar, ob die Aktualisierung der Firmware gegen die QSnatch-Malware wirklich hilft. Im Juli 2019 gab es bereits eine Warnung vor Ransomware-Befall (siehe Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS). Dort wurden ähnlich Handlungsempfehlungen wie in obiger Liste gegeben.

CERT-Bund schreibt in obigem Tweet, dass auf Basis erhobener Daten bereits ca. 7.000 NAS-Geräte in Deutschland betroffen sind.

System befallen? Abhilfemaßnahmen

Ist ein QNAP-System durch die Malware infiziert, hilft ein komplettes Zurücksetzen des Geräts auf die Werkseinstellungen. Zur Überprüfung, ob das QNAP-Gerät infiziert ist, kann man die neueste Version der Malware Remover-Software ausführen lassen. Bei befallenen Systemen lässt sich der Malware Remover möglicherweise nicht mehr installieren. In diesem Post beschreibt er eine Möglichkeit, wie man die Malware ggf. ohne Zurücksetzen auf Werkseinstellungen wieder los wird.

Bei heise hat ein Nutzer eine Anleitung, wie man das System manuell auf eine Infektion prüft, in diesem Kommentar gepostet. Weitere Informationen finden sich bei heise, beim finnischen CERT, in der QNAP-Sicherheitswarnung und inzwischen bei Bleeping Computer.

Ähnliche Artikel:
Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS
QNAP-NAS und die gekaperten Hosts-Einträge


Anzeige

Dieser Beitrag wurde unter Datenträger, Netzwerk, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu QSnatch-Malware zielt auf QNAP-NAS-Laufwerke

  1. Max Mustermann sagt:

    In meinem Fall waren alle üblichen Sicherheitsvorkehrungen getroffen, vorab. Außer, dass Port 443 verwendet wurde. Admin PW war lang und kryptisch und mit 2FA Google geschützt.
    Telnet, SSH, FTP ect. waren seit über einem Jahr deaktivert. Außerdem war auch der Netzwerkschutz aktiv, für alle Bereiche(wie lange, kann ich nicht mit Sicherheit sagen)
    Die Infektion ist ein Rätsel.
    Nachdem ich ein Firmware-Update manuell machte(per Suchfunktion fand er keins), startete ich erneut einen Scan mit Malware-Remover. Ohne Befund. Ich fand heraus, dass nicht nur Firmware-Updates durch die Infektion behindert wurden. Auch Malware-Remover lief nur auf einer alten Version. Nachdem ich diesen deinstalliert und von Qnap direkt lud (Ver. 3.5.4.1), wurde tatsächlich eine Infektion festgestellt und beseitigt, laut LOG "[Malware Remover] Malware was detected and removed. You must restart the NAS."
    Der eindeutige Beweis, dass ein Firmware-Update allein nicht reicht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.