{"id":224676,"date":"2019-11-07T19:30:07","date_gmt":"2019-11-07T18:30:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224676"},"modified":"2019-11-07T19:46:37","modified_gmt":"2019-11-07T18:46:37","slug":"qsnatch-malware-zielt-auf-qnap-nas-laufwerke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/07\/qsnatch-malware-zielt-auf-qnap-nas-laufwerke\/","title":{"rendered":"QSnatch-Malware zielt auf QNAP-NAS-Laufwerke"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2019\/11\/07\/qsnatch-malware-infects-qnap-nas-drives\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Eine Malware mit dem Namen QSnatch zielt auf Netzwerkspeicher des Herstellers QNAP. Der Hersteller bietet ein Firmware-Update an, um sich vor dieser Malware zu sch\u00fctzen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/b2a3c10fff8a451789270e08c49d6464\" width=\"1\" height=\"1\"\/>Ich hatte es bereits die Tage <a href=\"https:\/\/www.heise.de\/security\/meldung\/Malware-QSnatch-attackiert-QNAP-Netzwerkspeicher-auch-in-Deutschand-4573483.html\" target=\"_blank\" rel=\"noopener noreferrer\">bei heise<\/a> gelesen, der Hersteller QNAP hatte aber bereits zum 1. November 2019 <a href=\"https:\/\/www.qnap.com\/de-de\/security-advisory\/nas-201911-01\" target=\"_blank\" rel=\"noopener noreferrer\">diese Sicherheitswarnung<\/a> vor der QSnatch-Malware ver\u00f6ffentlicht. Das National Cyber Security Center Finland (NCSC-FI) hatte bereits Mitte Oktober 2019 \u00fcber den Autoreporter-Dienst Berichte \u00fcber infizierte Ger\u00e4te erhalten, die versuchen, mit bestimmten Command and Control (C2)-Servern zu kommunizieren. <\/p>\n<p>Dann kam vorige Woche vom Cyber Emergency Response Team (CERT) der finnischen Transport and Communications Agency (NCSC-FI) <a href=\"https:\/\/www.kyberturvallisuuskeskus.fi\/en\/news\/qsnatch-malware-designed-qnap-nas-devices\" target=\"_blank\" rel=\"noopener noreferrer\">eine Warnung<\/a> vor einer neuen Malware. <\/p>\n<p>Die Malware, die Netzwerkspeicher (Network Attached Storages, NAS) des Herstellers QNAP bef\u00e4llt, wurde letzte Woche bei einer Analyse entdeckt und auf den Namen QSnatch getauft. Eine Analyse der Malware ergab folgende Aktionen:<\/p>\n<ul>\n<li>Vom Betriebssystem geplante Auftr\u00e4ge und Skripte werden ge\u00e4ndert (Cronjob, Initskripte).  <\/li>\n<li>Firmware-Updates werden verhindert, indem die Update-Quellen vollst\u00e4ndig \u00fcberschrieben werden.  <\/li>\n<li>QNAP MalwareRemover App wird daran gehindert, ausgef\u00fchrt zu werden.  <\/li>\n<li>Alle Benutzernamen und Passw\u00f6rter, die sich auf das Ger\u00e4t beziehen, werden abgerufen und an den C2-Server gesendet.  <\/li>\n<li>Die Malware ist modular aufgebaut, um neue Funktionen von den C2-Servern f\u00fcr weitere Aktivit\u00e4ten zu laden.  <\/li>\n<li>Die Call-Home-Aktivit\u00e4t zu den C2-Servern ist so eingestellt, dass sie mit festgelegten Intervallen l\u00e4uft.<\/li>\n<\/ul>\n<p>Die Malware modifiziert also die Firmware infizierter QNAP-Ger\u00e4te, um dauerhaft aktiv zu bleiben. Dabei werden Firmware-Updates der Ger\u00e4t deaktiviert. QSnatch entwendet zudem die Zugangsdaten des NAS-Speichers und \u00fcbertr\u00e4gt diese an den Command &amp; Control-Server. Die Malware ist auch in der Lage \u00fcber diese Server weitere Schadfunktionen nachzuladen. Der Infektionsvektor ist derzeit aber wohl noch unbekannt. <\/p>\n<h2>Empfehlungen des Herstellers<\/h2>\n<p>Auf Basis der bisherigen Erkenntnisse gibt der Hersteller QNAP seinen Nutzern folgende Handlungsempfehlungen:<\/p>\n<ul>\n<li>Aktualisieren Sie QTS-Firmware auf die neueste Version.  <\/li>\n<li>Installieren und aktualisieren Sie den Sicherheitsberater (Security Counselor) auf die neueste Version.  <\/li>\n<li>Installieren und aktualisieren Sie Malware Remover auf die neueste Version (sollte mindestens 3.5.4 sein).  <\/li>\n<li>Verwenden Sie ein st\u00e4rkeres Admin-Passwort.  <\/li>\n<li>Aktivieren Sie den IP- und Kontozugriffsschutz, um Brute-Force-Angriffe zu verhindern.  <\/li>\n<li>Deaktivieren Sie SSH- und Telnet-Verbindungen, wenn Sie diese Dienste nicht nutzen.<br \/>Vermeiden Sie die Verwendung der Standard-Portnummern 443 und 8080.<\/li>\n<\/ul>\n<p>Aktuell ist aber unklar, ob die Aktualisierung der Firmware gegen die QSnatch-Malware wirklich hilft. Im Juli 2019 gab es bereits eine Warnung vor Ransomware-Befall (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/07\/26\/warnung-ransomware-angriffe-auf-qnap-synology-nas\/\">Warnung: Ransomware-Angriffe auf QNAP-\/Synology-NAS<\/a>). Dort wurden \u00e4hnlich Handlungsempfehlungen wie in obiger Liste gegeben. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"de\" dir=\"ltr\">Auf Basis von Sinkhole-Daten sind aktuell bereits ca. 7.000 NAS-Ger\u00e4te in Deutschland betroffen.<br \/>Weitere Informationen von unseren Kollegen bei <a href=\"https:\/\/twitter.com\/CERTFI?ref_src=twsrc%5Etfw\">@CERTFI<\/a>:<a href=\"https:\/\/t.co\/DgrWKoRHS0\">https:\/\/t.co\/DgrWKoRHS0<\/a><\/p>\n<p>\u2014 CERT-Bund (@certbund) <a href=\"https:\/\/twitter.com\/certbund\/status\/1189890405749460992?ref_src=twsrc%5Etfw\">October 31, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>CERT-Bund schreibt in obigem Tweet, dass auf Basis erhobener Daten bereits ca. 7.000 NAS-Ger\u00e4te in Deutschland betroffen sind. <\/p>\n<h2>System befallen? Abhilfema\u00dfnahmen<\/h2>\n<p>Ist ein QNAP-System durch die Malware infiziert, hilft ein komplettes Zur\u00fccksetzen des Ger\u00e4ts auf die Werkseinstellungen. Zur \u00dcberpr\u00fcfung, ob das QNAP-Ger\u00e4t infiziert ist, kann man die neueste Version der <a href=\"https:\/\/www.qnap.com\/de-de\/app_releasenotes\/list.php?app_choose=MalwareRemover\" target=\"_blank\" rel=\"noopener noreferrer\">Malware Remover-Software<\/a> ausf\u00fchren lassen. Bei befallenen Systemen l\u00e4sst sich der Malware Remover m\u00f6glicherweise nicht mehr installieren. In <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Malware-QSnatch-attackiert-QNAP-Netzwerkspeicher-auch-in-Deutschland\/QSnatch-entfernen-ohne-Reset\/posting-35523704\/show\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Post<\/a> beschreibt er eine M\u00f6glichkeit, wie man die Malware ggf. ohne Zur\u00fccksetzen auf Werkseinstellungen wieder los wird.<\/p>\n<p>Bei heise hat ein Nutzer eine Anleitung, wie man das System manuell auf eine Infektion pr\u00fcft, in <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Malware-QSnatch-attackiert-QNAP-Netzwerkspeicher-auch-in-Deutschland\/Check-und-Loesungsansatz-Link-inside\/posting-35532526\/show\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Kommentar gepostet<\/a>. Weitere Informationen finden sich bei <a href=\"https:\/\/www.heise.de\/security\/meldung\/Malware-QSnatch-attackiert-QNAP-Netzwerkspeicher-auch-in-Deutschand-4573483.html\" target=\"_blank\" rel=\"noopener noreferrer\">heise<\/a>, beim <a href=\"https:\/\/www.kyberturvallisuuskeskus.fi\/en\/news\/qsnatch-malware-designed-qnap-nas-devices\" target=\"_blank\" rel=\"noopener noreferrer\">finnischen CERT<\/a>, in der <a href=\"https:\/\/www.qnap.com\/de-de\/security-advisory\/nas-201911-01\" target=\"_blank\" rel=\"noopener noreferrer\">QNAP-Sicherheitswarnung<\/a> und inzwischen <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/qnap-warns-users-to-secure-devices-against-qsnatch-malware\/\" target=\"_blank\" rel=\"noopener noreferrer\">bei Bleeping Computer<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/07\/26\/warnung-ransomware-angriffe-auf-qnap-synology-nas\/\">Warnung: Ransomware-Angriffe auf QNAP-\/Synology-NAS<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/02\/14\/qnap-nas-und-die-gekaperten-hosts-eintrge\/\">QNAP-NAS und die gekaperten Hosts-Eintr\u00e4ge<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Eine Malware mit dem Namen QSnatch zielt auf Netzwerkspeicher des Herstellers QNAP. Der Hersteller bietet ein Firmware-Update an, um sich vor dieser Malware zu sch\u00fctzen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[41,123,426],"tags":[930,4307,4328],"class_list":["post-224676","post","type-post","status-publish","format-standard","hentry","category-datentrager","category-netzwerk","category-sicherheit","tag-nas","tag-netzwerk","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224676"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224676\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}