home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> การแก้ไขปัญหา >> การบำรุงรักษาคอมพิวเตอร์

วิธีกำจัดมัลแวร์ Qsnatch

Network Attached Storage หรืออุปกรณ์ NAS ที่ออกแบบโดย QNAP ถูกพบว่ามีความเสี่ยงต่อมัลแวร์ชื่อ QSnatch คำเตือนนี้เป็นไปตามคำแนะนำที่ออกโดย United States Cybersecurity and Infrastructure Security Agency (CISA) ร่วมกับ National Cyber ​​Security Center (NCSC) ของสหราชอาณาจักร

QNAP สร้างอุปกรณ์ NAS ที่ใช้เป็นข้อมูลสำรองในระบบคลาวด์สำหรับอุปกรณ์ต่างๆ เช่น คอมพิวเตอร์และโทรศัพท์ ตลอดจนโปรแกรมอื่นๆ มากมาย มันใช้ระบบปฏิบัติการ Linux ที่สร้างขึ้นเอง ซึ่งทำให้มัลแวร์ QSnatch น่าประทับใจยิ่งขึ้น ยังไม่ชัดเจนว่ามัลแวร์มีการกระจายอย่างไร ใครเป็นผู้โจมตี และวัตถุประสงค์ของพวกเขาคืออะไร

มัลแวร์ Qsnatch คืออะไร

QSnatch เป็นมัลแวร์สายพันธุ์ที่สี่ที่ค้นพบในปี 2020 โดยมีเป้าหมายไปที่อุปกรณ์ NAS เหตุการณ์นี้เกิดขึ้นหลังจากการค้นพบแรนซัมแวร์สายพันธุ์ที่ส่งผลกระทบต่ออุปกรณ์ Synology รวมถึงแรนซัมแวร์ eCh0raix และ Muhstik ที่ติดอุปกรณ์ QNAP

ในครั้งนี้ แฮกเกอร์ได้แพร่เชื้อไปยังอุปกรณ์จัดเก็บข้อมูลบนเครือข่ายหลายหมื่นเครื่องจากผู้ผลิตชาวไต้หวันอย่าง QNAP ด้วยมัลแวร์ตัวใหม่ที่เรียกว่า QSnatch

มัลแวร์ QSnatch เวอร์ชันต่างๆ ถูกตรวจพบมาหลายปีแล้ว นับตั้งแต่ปี 2014 และ 2017 หน่วยงานด้านความปลอดภัยได้ระบุแคมเปญเฉพาะสองแคมเปญที่ออกแบบมาเพื่อแพร่เชื้อนี้ โดยครั้งล่าสุดมีอายุย้อนไปถึงเดือนพฤศจิกายน 2019

ที่น่าสนใจคือผู้เชี่ยวชาญด้านความปลอดภัยยังไม่ทราบว่า QSnatch แพร่กระจายอย่างไร แต่ดูเหมือนว่าจะถูกฉีดเข้าไปในเฟิร์มแวร์ของอุปกรณ์ในช่วงการติดไวรัส โดยโค้ดที่เป็นอันตรายจะทำงานภายในอุปกรณ์หลังการติดไวรัส มีความเป็นไปได้สูงที่ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ที่สามารถหาประโยชน์ได้จากระยะไกลซึ่งพบในเฟิร์มแวร์ ทำให้สามารถแทรกโค้ดที่เป็นอันตรายลงในเฟิร์มแวร์ได้

QSnatch สามารถรวบรวมข้อมูลที่เป็นความลับจากอุปกรณ์ที่ติดไวรัส ซึ่งรวมถึงข้อมูลรับรองการเข้าสู่ระบบและการกำหนดค่าระบบของคุณ เนื่องจากข้อกังวลเรื่องการละเมิดข้อมูลเหล่านี้ อุปกรณ์ QNAP ที่ติดไวรัสที่ได้รับการ "ล้าง" อาจยังคงเสี่ยงต่อการติดเชื้อซ้ำแม้จะลบมัลแวร์แล้ว

ตามรายงานของ German Computer Emergency Response Team (CERT-Bund) พบว่ามีผู้ติดเชื้อ QSnatch มากกว่า 7,000 รายในเยอรมนี ในเดือนมิถุนายน จำนวนอุปกรณ์ที่ติดเชื้อทั่วโลกถึง 62,000 โดยที่ประมาณ 7,600 ในสหรัฐอเมริกาและ 3,900 ในสหราชอาณาจักร

วิธีการทำงานของ QSnatch

QSnatch เป็นมัลแวร์ที่มีความซับซ้อนอย่างยิ่ง ซึ่งสร้างขึ้นเพื่อขโมยข้อมูลประจำตัวโดยใช้ตัวบันทึกรหัสผ่าน CGI เพื่อให้แฮ็กเกอร์มีแบ็คดอร์ SSH เพื่อส่งออกข้อมูล (รวมถึงการกำหนดค่าระบบและไฟล์บันทึก) และเพื่อให้การทำงานของเว็บเชลล์สำหรับการเข้าถึงระยะไกล

เมื่อมัลแวร์ได้รับการติดตั้งบนไดรฟ์ NAS แล้ว มัลแวร์จะคงอยู่ต่อไปโดยการแก้ไขไฟล์โฮสต์และเปลี่ยนเส้นทางชื่อโดเมนหลักที่ใช้โดยไดรฟ์ NAS ไปเป็นเวอร์ชันท้องถิ่นที่ล้าสมัย ป้องกันไม่ให้มีการเรียกข้อมูลอัปเดต

ตามการแจ้งเตือนด้านความปลอดภัย QSnatch เวอร์ชันใหม่มาพร้อมกับชุดคุณลักษณะที่ได้รับการปรับปรุงและกว้างขวางซึ่งรวมถึงฟังก์ชันการทำงานสำหรับโมดูล เช่น:

  • ตัวบันทึกรหัสผ่าน CGI สำหรับติดตั้งเวอร์ชันปลอมของหน้าเข้าสู่ระบบผู้ดูแลระบบอุปกรณ์ บันทึกการตรวจสอบสิทธิ์ที่ถูกต้อง และส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
  • เครื่องขูดข้อมูลประจำตัว
  • แบ็คดอร์ SSH เพื่อให้แฮ็กเกอร์สามารถรันโค้ดตามอำเภอใจบนอุปกรณ์ได้
  • การกรองข้อมูลที่ช่วยให้ QSnatch สามารถขโมยรายการไฟล์ที่กำหนดไว้ล่วงหน้า ซึ่งรวมถึงการกำหนดค่าระบบและไฟล์บันทึก สิ่งเหล่านี้มักจะเข้ารหัสด้วยกุญแจสาธารณะของแฮ็กเกอร์และส่งต่อไปยังโครงสร้างพื้นฐานของพวกเขาผ่าน HTTPS
  • ฟังก์ชัน Webshell สำหรับการเข้าถึงระยะไกล

ในขณะที่ผู้เชี่ยวชาญด้านความปลอดภัยสามารถวิเคราะห์สิ่งที่มัลแวร์ QSnatch เวอร์ชันปัจจุบันสามารถทำได้ แต่มีปัจจัยสำคัญประการหนึ่งที่ไม่อาจหลีกเลี่ยงได้ นั่นคือวิธีที่มัลแวร์เริ่มแพร่ระบาดในอุปกรณ์

ดังที่ได้กล่าวไว้ก่อนหน้านี้ แฮกเกอร์อาจใช้ช่องโหว่ที่พบในเฟิร์มแวร์ QNAP หรือผู้โจมตีอาจใช้รหัสผ่านทั่วไปสำหรับบัญชีผู้ดูแลระบบ ขออภัย วิธีการเหล่านี้ไม่สามารถตรวจสอบได้โดยปราศจากข้อสงสัย

แต่เมื่อแฮ็กเกอร์ตั้งหลักได้แล้ว มัลแวร์ QSnatch จะถูกฉีดเข้าไปในเฟิร์มแวร์และเข้าควบคุมอุปกรณ์อย่างสมบูรณ์ จากนั้นจะบล็อกการอัปเดตเฟิร์มแวร์ในอนาคตเพื่อให้สามารถอยู่รอดได้ใน NAS ที่ติดไวรัส

เนื่องจากมัลแวร์ยังคงอยู่ ผู้ดูแลระบบจึงติดตั้งการอัปเดตเฟิร์มแวร์ไม่ได้ การใช้โปรแกรมป้องกันไวรัสที่เชื่อถือได้อาจใช้ได้กับมัลแวร์ทั่วไป แต่จะไม่ได้ผลในกรณีนี้ ผู้ใช้ต้องทำการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานก่อนที่จะอัปเกรดเฟิร์มแวร์และติดตั้งการอัปเดตล่าสุดทั้งหมด โดยจะลบมัลแวร์ในกระบวนการ

วิธีการลบมัลแวร์ Qsnatch

ไม่แน่ใจว่ามัลแวร์ถูกสร้างขึ้นสำหรับการโจมตี DDoS, การขุด cryptocurrency หรือเพื่อใช้เป็นแบ็คดอร์สำหรับอุปกรณ์ QNAP ที่พัฒนาขึ้นเพื่อขโมยข้อมูลที่เป็นความลับหรือโฮสต์มัลแวร์ในอนาคต

แต่ ณ ตอนนี้ วิธีเดียวที่ประสบความสำเร็จในการลบ QSnatch คือทำการรีเซ็ตอุปกรณ์ NAS เป็นค่าเริ่มต้นจากโรงงาน หลังจากรีเซ็ตแล้ว ขอแนะนำให้ผู้ใช้ติดตั้งการอัปเดตเฟิร์มแวร์ QNAP NAS เวอร์ชันล่าสุดที่มีให้

หากองค์กรของคุณติดมัลแวร์ นี่คือสิ่งที่ QNAP แนะนำ:

“QNAP ได้อัปเดตแอพ Malware Remover สำหรับระบบปฏิบัติการ QTS เมื่อวันที่ 1 พฤศจิกายน เพื่อตรวจจับและลบมัลแวร์ออกจาก QNAP NAS QNAP ยังออกคำแนะนำด้านความปลอดภัยที่อัปเดตเมื่อวันที่ 2 พฤศจิกายน เพื่อแก้ไขปัญหา ขอแนะนำให้ผู้ใช้ติดตั้งแอป Malware Remover เวอร์ชันล่าสุดจาก QTS App Center หรือโดยการดาวน์โหลดด้วยตนเองจากเว็บไซต์ QNAP QNAP ยังแนะนำชุดการดำเนินการสำหรับการปรับปรุงความปลอดภัยของ QNAP NAS นอกจากนี้ยังมีรายละเอียดอยู่ในคำแนะนำด้านความปลอดภัย”

หากต้องการอัปเดตเป็นเฟิร์มแวร์ล่าสุด ให้ไปที่ลิงก์นี้:https://www.qnap.com/en/download

คุณยังสามารถทำตามคำแนะนำด้านล่าง:

  1. เข้าสู่ระบบ QTS ในฐานะผู้ดูแลระบบ
  2. ไปที่ แผงควบคุม> ระบบ> อัปเดตเฟิร์มแวร์
  3. คลิก ตรวจสอบการอัปเดต ภายใต้ อัปเดตสด
  4. QTS ดาวน์โหลดและติดตั้งการอัปเดตล่าสุดที่มีให้

คุณต้องอัปเดต Malware Remover ในตัวของ QNAP ด้วย โดยทำตามขั้นตอนด้านล่าง:

  1. เข้าสู่ระบบ QTS ในฐานะผู้ดูแลระบบ
  2. เปิด App Center แล้วคลิกปุ่ม (+)
  3. เมื่อกล่องโต้ตอบการติดตั้งด้วยตนเองปรากฏขึ้น ให้อ่านคำแนะนำ
  4. คลิก เรียกดู .
  5. เมื่อไฟล์เบราว์เซอร์ปรากฏขึ้น ให้ค้นหาและเลือกไฟล์ตัวติดตั้ง
  6. คลิก ติดตั้ง .
  7. ข้อความยืนยันจะปรากฏขึ้น
  8. คลิก ตกลง .
  9. QTS ควรติดตั้ง Malware Remover เวอร์ชันล่าสุด
  10. เมื่อข้อความยืนยันปรากฏขึ้น ให้คลิก ตกลง .
  11. เมื่อกล่องโต้ตอบการอัปเดตที่จำเป็นปรากฏขึ้น ให้คลิก อัปเดตทันที
  12. QTS ควรอัปเดต Malware Remover เป็นเวอร์ชันล่าสุด
  13. เปิดโปรแกรมกำจัดมัลแวร์ จากนั้นคลิก เริ่มการสแกน

การดำเนินการนี้ควรสแกนหามัลแวร์ใน NAS และลบภัยคุกคามที่พบ

วิธีป้องกันการติดเชื้อ QSnatch

เพื่อป้องกันการติดมัลแวร์ QNAP ขอแนะนำมาตรการความปลอดภัยต่อไปนี้:

  • เปลี่ยนรหัสผ่านของผู้ดูแลระบบและใช้รหัสผ่านที่รัดกุมและไม่ซ้ำใคร
  • เปลี่ยนรหัสผ่านของผู้ใช้รายอื่นและทำให้เป็นรหัสผ่านแบบสุ่มมากที่สุด
  • เปลี่ยนรหัสผ่าน QNAP ID ของคุณด้วย
  • ใช้รหัสผ่านรูทฐานข้อมูลที่รัดกุมยิ่งขึ้นเพื่อให้ถอดรหัสได้ยาก
  • ลบบัญชีที่ไม่คุ้นเคยหรือน่าสงสัยที่มัลแวร์อาจสร้างขึ้น
  • เปิดใช้งานการป้องกัน IP และการเข้าถึงบัญชีเพื่อหลีกเลี่ยงการโจมตีแบบเดรัจฉาน
  • ปิดการเชื่อมต่อ SSH และ Telnet หากไม่ได้ใช้บริการเหล่านี้
  • ปิดการใช้งานเว็บเซิร์ฟเวอร์, เซิร์ฟเวอร์ SQL หรือแอป phpMyAdmin ด้วย
  • ลบแอปที่ผิดพลาด ไม่รู้จัก หรือน่าสงสัยออก
  • อย่ากำหนดหมายเลขพอร์ตเริ่มต้น รวมถึง 22, 443, 80, 8080 และ 8081
  • ปิดการกำหนดค่าเราเตอร์อัตโนมัติและเผยแพร่บริการ
  • จำกัดการควบคุมการเข้าถึงใน myQNAPcloud

ขั้นตอนข้างต้นควรป้องกันไม่ให้อุปกรณ์ QNAP ของคุณตกเป็นเป้าหมายของการโจมตีเหล่านี้ การติดไวรัสโดย QSnatch ไม่เพียงแต่ทำให้ข้อมูลประจำตัวของคุณเสี่ยงต่อการถูกขโมย ข้อมูลทั้งหมดของคุณจะถูกลบออกเมื่อคุณฟอร์แมตไดรฟ์ NAS ใหม่เพื่อลบมัลแวร์ ดังนั้นเพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น โปรดใช้มาตรการรักษาความปลอดภัยที่เข้มงวดในไดรฟ์ของคุณก่อนที่จะสายเกินไป