چندینهزار دستگاه ذخیرهساز متصل به شبکه (NAS) شرکت QNAP توسط بدافزار جدیدی به نام QSnatch آلوده شدهاند.
منبع : مرکز مدیریت راهبردی افتا
چندینهزار دستگاه ذخیرهساز متصل به شبکه (NAS) شرکت QNAP توسط بدافزار جدیدی به نام QSnatch آلوده شدهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آلودهشدن هفتهزار دستگاه ( NAS (Network Attached Storage فقط در آلمان گزارش شدهاست و هزاران مورد آلودگی دیگر نیز در سطح جهان در حال رخ دادن است.
بدافزار QSnatch به firmware دستگاه نفوذ میکند تا اطلاعات احرازهویت را به سرقت ببرد و کد مخرب در آن بارگذاری کند.
بدافزار پس از آلودهسازی firmware دستگاه از الگوریتمهای تولید دامنه استفاده میکند تا کدهای مخرب را با استفاده از درخواستهای HTTP GET از سرورهای فرمان و کنترل (C&C) دریافت کند. پس از بارگیری payload مخرب از سرور C&C، بدافزار اقدامات مخربی را انجام میدهد که شامل موارد زیر هستند:
• دستکاری کارها و اسکریپتهای زمانبندی شده در سیستمعامل، • جلوگیری از بهروزرسانی Firmware، • جلوگیری از اجرای برنامه حذف بدافزار در QNAP (QNAP MalwareRemover)، • استخراج نامکاربری و گذرواژههای ذخیره شده در دستگاه و ارسال آنها به سرورهای C&C، • بارگیری قابلیتهای جدید بهصورت ماژولار از سرورهای C&C.
بدافزار QSnatch را میتوان با گزینه بازگشت به تنظیمات کارخانه در دستگاه QNAS حذف کرد که این راه اطلاعات ذخیرهشده در دستگاه را بهطور کامل پاک میکند.
شرکت QNAP یک اطلاعیه امنیتی مربوط به بدافزار QSnatch منتشر کردهاست و راهکارهای زیر برای حذف بدافزار و جلوگیری از حملات توصیه شدهاند:
• بهروزرسانی QTS به آخرین نسخه، • نصب و بهروزرسانی Security Counselor به آخرین نسخه، • نصب و بهروزرسانی QNAP MalwareRemover به آخرین نسخه (نسخههای ۳,۵.۴.۰ و ۴.۵.۴.۰ برنامه QNAP MalwareRemover به منظور حذف بدافزار QSnatch منتشر شدهاند)، • استفاده از گذرواژه قوی برای حسابهای کاربری، • فعالسازی موارد Account Access Protection و IP Access Protection، • غیرفعالسازی SSH و Telnet در صورت عدم استفاده از این سرویسها، • جلوگیری از استفاده از پورتهای پیشفرض ۴۴۳ و ۸۰۸۰.