清理及防範QSnatch惡意軟件

在這個高度數碼化時代，很多中小企和個人電腦用戶會使用管理方便及價格相宜的網絡附加儲存設備(NAS)來幫助儲存資料和多媒體檔案。這亦促使該類設備成為網絡罪犯的攻擊目標。HKCERT最近檢討本地惡意軟件的最新情況，估計香港目前有大約2,000部QNAP品牌的網絡附加儲存設備感染了「QSnatch」惡意軟件，成為殭屍網絡的一分子。針對這情況，HKCERT已經聯絡本地互聯網服務供應商幫助找出受感染設備以解決問題。
 
什麼是QSnatch?
「QSnatch」是一種針對台灣網絡儲存設備生產商QNAP裝置的惡意軟件。它會透過動態域名產生演算法 (DGA) 不斷產生不同的域名去連接由網絡黑客操作的指揮伺服器（簡稱 C&C 或 C2 伺服器），讓保安研究團隊難以追蹤。惡意軟件本身亦有多種功能，當中包括：

• CGI密碼記錄 – 透過偽裝的CGI裝置管理員登入頁面以竊取帳號密碼
• 憑證抓取 – 將帳號及密碼傳送到黑客的伺服器
• SSH後門 – 讓攻擊者可以在裝置上任意執行程式
• 資料外漏 – 將裝置的設定及日誌傳送到黑客的伺服器
• 植入Web shell -讓黑客可以遠端存取及控制裝置

除了上述資料竊取功能外，QSnatch亦可以阻止裝置進行系統韌體更新，這會使受害人不能透過更新堵塞其他保安漏洞，從而令裝置更易被攻擊及入侵。

給設備持有者的建議
為防止遭受QSnatch惡意軟件感染，我們建議：

• 經常更新裝置系統韌體至最新版本
• 安裝由廠商提供的最新版本Security Counselor及 Malware Remover
• 啟用IP和帳戶訪問保護以防止暴力攻擊
• 定期更改管理員和用戶密碼
• 關掉未被使用的通訊協議和應用程式，例如 SSH，Telnet，Web服務器，SQL服務器，phpMyAdmin
• 避免使用默認端口，例如 22、443、80、8080、8081等
• 如果設備只打算在內部使用，請禁止外部訪問或設置網絡防火牆

如果懷疑裝置受到感染，或是無法更新系統韌體，請執行以下步驟：

• 到QNAP官方網站下載及安裝最新版本的Malware Remover
• 以Malware Remover掃瞄裝置

 
參考資料
[1]https://www.qnap.com/zh-hk/how-to/knowledge-base/article/about-qsnatch/
[2]https://www.hkcert.org/tc/security-bulletin/be-aware-of-qsnatch-malware-targeting-qnap-nas-devices