Computer >> Máy Tính >  >> Xử lý sự cố >> bảo trì máy tính

Cách thoát khỏi phần mềm độc hại Qsnatch

Thiết bị lưu trữ đính kèm mạng hoặc thiết bị NAS do QNAP thiết kế đã được phát hiện là dễ bị tấn công bởi phần mềm độc hại có tên QSnatch. Cảnh báo này là theo lời khuyên do Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cùng với Trung tâm An ninh mạng Quốc gia (NCSC) của Vương quốc Anh đưa ra.

QNAP tạo ra các thiết bị NAS được sử dụng làm bản sao lưu đám mây cục bộ cho các thiết bị khác nhau, chẳng hạn như máy tính và điện thoại, cũng như nhiều chương trình khác. Nó sử dụng một hệ điều hành Linux được xây dựng tùy chỉnh, điều này làm cho phần mềm độc hại QSnatch trở nên ấn tượng hơn. Hiện vẫn chưa rõ phần mềm độc hại được phân phối như thế nào, những kẻ tấn công là ai và mục tiêu của chúng là gì.

Phần mềm độc hại Qsnatch là gì?

QSnatch là dòng phần mềm độc hại thứ tư được phát hiện vào năm 2020 đã nhắm mục tiêu vào các thiết bị NAS. Sự cố này xảy ra sau khi phát hiện ra chủng ransomware ảnh hưởng đến các thiết bị Synology, cũng như eCh0raix và Muhstik ransomware đã lây nhiễm các thiết bị QNAP.

Lần này, tin tặc đã lây nhiễm phần mềm độc hại mới có tên là QSnatch cho hàng chục nghìn thiết bị lưu trữ gắn mạng của nhà sản xuất Đài Loan, QNAP.

Nhiều phiên bản khác nhau của phần mềm độc hại QSnatch đã được phát hiện trong nhiều năm nay, kể từ năm 2014 và 2017. Các cơ quan an ninh đã xác định được hai chiến dịch cụ thể được thiết kế để lây lan sự lây nhiễm này, chiến dịch cuối cùng có từ tháng 11 năm 2019.

Điều thú vị là các chuyên gia bảo mật vẫn chưa biết cách thức lây lan của QSnatch, nhưng nó dường như được đưa vào phần sụn của thiết bị trong giai đoạn lây nhiễm, với mã độc chạy trong thiết bị sau khi bị lây nhiễm, do đó sẽ ảnh hưởng đến nó. Rất có thể những kẻ tấn công đã khai thác lỗ hổng có thể khai thác từ xa được tìm thấy trong chương trình cơ sở, cho phép đưa mã độc hại vào chương trình cơ sở.

QSnatch có khả năng thu thập thông tin bí mật từ các thiết bị bị nhiễm, bao gồm thông tin đăng nhập và cấu hình hệ thống của bạn. Do những lo ngại về vi phạm dữ liệu này, các thiết bị QNAP bị nhiễm đã được "làm sạch" vẫn có thể có nguy cơ tái nhiễm ngay cả khi đã xóa phần mềm độc hại.

Theo Nhóm Ứng cứu Khẩn cấp Máy tính của Đức (CERT-Bund), hơn 7.000 trường hợp nhiễm QSnatch đã được báo cáo ở Đức. Vào tháng 6, số lượng thiết bị bị nhiễm virus trên khắp thế giới đạt 62.000, với khoảng 7.600 ở Mỹ và 3.900 ở Anh.

Cách thức hoạt động của QSnatch

QSnatch là một phần mềm độc hại cực kỳ tinh vi được tạo ra để lấy cắp thông tin đăng nhập bằng cách sử dụng trình ghi mật khẩu CGI, cung cấp cho tin tặc một cửa hậu SSH, để xuất dữ liệu (bao gồm cả cấu hình hệ thống và tệp nhật ký) và cung cấp chức năng web shell để truy cập từ xa.

Sau khi phần mềm độc hại đã được cài đặt trên ổ NAS, nó sẽ trở nên dai dẳng bằng cách sửa đổi tệp máy chủ và chuyển hướng các tên miền cốt lõi được ổ NAS sử dụng sang các phiên bản cục bộ đã lỗi thời, ngăn không cho truy xuất các bản cập nhật.

Theo cảnh báo bảo mật, phiên bản mới của QSnatch đi kèm với một loạt các tính năng được cải tiến và bao gồm chức năng cho các mô-đun, chẳng hạn như:

  • Trình ghi mật khẩu CGI để cài đặt phiên bản giả mạo của trang đăng nhập quản trị thiết bị, ghi lại các thông tin xác thực hợp pháp và chuyển tiếp chúng đến trang đăng nhập hợp pháp.
  • Trình quét thông tin xác thực
  • Cửa hậu SSH để cho phép tin tặc thực thi mã tùy ý trên thiết bị.
  • Tính năng lọc cho phép QSnatch lấy cắp danh sách các tệp được xác định trước, bao gồm các cấu hình hệ thống và tệp nhật ký. Chúng thường được mã hóa bằng khóa công khai của tin tặc và được chuyển tiếp đến cơ sở hạ tầng của chúng qua HTTPS.
  • Chức năng của trang web để truy cập từ xa

Mặc dù các chuyên gia bảo mật đã cố gắng phân tích phiên bản hiện tại của phần mềm độc hại QSnatch có khả năng hoạt động như thế nào, nhưng một yếu tố quan trọng không tránh được chúng - cách phần mềm độc hại lây nhiễm ban đầu vào thiết bị.

Như đã đề cập trước đó, tin tặc có thể đang khai thác các lỗ hổng được tìm thấy trong chương trình cơ sở QNAP hoặc những kẻ tấn công có thể đang sử dụng mật khẩu chung cho tài khoản quản trị viên. Thật không may, không ai trong số những phương pháp này có thể được xác minh ngoài một sự nghi ngờ.

Nhưng một khi tin tặc có được chỗ đứng, phần mềm độc hại QSnatch sẽ được đưa vào phần sụn và chiếm toàn quyền kiểm soát thiết bị. Sau đó, nó chặn các bản cập nhật trong tương lai cho phần sụn để tồn tại trên NAS bị nhiễm.

Vì phần mềm độc hại rất dai dẳng nên quản trị viên không thể cài đặt các bản cập nhật chương trình cơ sở. Sử dụng phần mềm chống vi-rút đáng tin cậy có thể hiệu quả với phần mềm độc hại thông thường, nhưng chúng không hiệu quả trong trường hợp này. Người dùng cần thực hiện khôi phục cài đặt gốc đầy đủ trước khi nâng cấp chương trình cơ sở và cài đặt tất cả các bản cập nhật mới nhất, xóa phần mềm độc hại trong quá trình này.

Cách loại bỏ phần mềm độc hại Qsnatch

Không chắc liệu phần mềm độc hại có được tạo ra để tấn công DDoS, khai thác tiền điện tử hay dùng làm cửa hậu cho các thiết bị QNAP được phát triển để lấy cắp dữ liệu bí mật hoặc phần mềm độc hại trên máy chủ lưu trữ trong tương lai hay không.

Nhưng hiện tại, phương pháp thành công duy nhất để gỡ bỏ QSnatch là thực hiện khôi phục cài đặt gốc toàn bộ thiết bị NAS. Sau khi đặt lại, người dùng được khuyến khích cài đặt phiên bản cập nhật phần mềm QNAP NAS mới nhất hiện có.

Nếu tổ chức của bạn đã bị nhiễm phần mềm độc hại này, đây là những gì QNAP khuyến nghị:

“QNAP đã cập nhật ứng dụng Malware Remover cho hệ điều hành QTS vào ngày 1 tháng 11 để phát hiện và xóa phần mềm độc hại khỏi QNAP NAS. QNAP cũng đã đưa ra một lời khuyên bảo mật cập nhật vào ngày 2 tháng 11 để giải quyết vấn đề này. Người dùng được khuyến khích cài đặt phiên bản mới nhất của ứng dụng Malware Remover từ QTS App Center hoặc bằng cách tải xuống thủ công từ trang web QNAP. QNAP cũng đề xuất một loạt các hành động để nâng cao bảo mật QNAP NAS. Chúng cũng được nêu chi tiết trong cố vấn bảo mật. ”

Để cập nhật chương trình cơ sở mới nhất, hãy nhấp vào liên kết sau:https://www.qnap.com/vi/download

Bạn cũng có thể làm theo hướng dẫn bên dưới:

  1. Đăng nhập vào QTS với tư cách quản trị viên.
  2. Điều hướng đến Bảng điều khiển> Hệ thống> Cập nhật chương trình cơ sở.
  3. Nhấp vào Kiểm tra bản cập nhật trong Cập nhật trực tiếp.
  4. QTS tải xuống và cài đặt bản cập nhật mới nhất hiện có.

Bạn cũng cần cập nhật Trình xóa phần mềm độc hại tích hợp của QNAP bằng cách làm theo các bước bên dưới:

  1. Đăng nhập vào QTS với tư cách quản trị viên.
  2. Mở Trung tâm ứng dụng rồi nhấp vào nút (+).
  3. Khi hộp thoại cài đặt thủ công xuất hiện, hãy đọc hướng dẫn.
  4. Nhấp vào Duyệt qua .
  5. Khi trình duyệt tệp xuất hiện, hãy tìm và chọn tệp trình cài đặt.
  6. Nhấp vào Cài đặt .
  7. Một thông báo xác nhận bật lên.
  8. Nhấp vào OK .
  9. QTS hiện sẽ cài đặt phiên bản mới nhất của Malware Remover.
  10. Khi thông báo xác nhận xuất hiện, hãy nhấp vào OK .
  11. Khi hộp thoại cập nhật bắt buộc xuất hiện, hãy nhấp vào Cập nhật ngay.
  12. QTS nên cập nhật Malware Remover lên phiên bản mới nhất.
  13. Mở Malware Remover, sau đó nhấp vào Bắt đầu quét.

Thao tác này sẽ quét NAS để tìm phần mềm độc hại và xóa mọi mối đe dọa được tìm thấy.

Cách ngăn ngừa nhiễm trùng QSnatch

Để ngăn chặn việc lây nhiễm phần mềm độc hại, QNAP cũng khuyến nghị thực sự các biện pháp bảo mật sau:

  • Thay đổi mật khẩu quản trị viên và sử dụng những mật khẩu mạnh, độc đáo.
  • Thay đổi mật khẩu của người dùng khác và đặt chúng ngẫu nhiên nhất có thể.
  • Thay đổi cả mật khẩu QNAP ID của bạn.
  • Sử dụng mật khẩu gốc của cơ sở dữ liệu mạnh hơn để khó bẻ khóa.
  • Xóa các tài khoản không quen thuộc hoặc đáng ngờ mà phần mềm độc hại có thể đã tạo.
  • Bật tính năng bảo vệ quyền truy cập tài khoản và IP để tránh các cuộc tấn công vũ phu.
  • Tắt kết nối SSH và Telnet nếu các dịch vụ này không được sử dụng.
  • Tắt cả Máy chủ web, máy chủ SQL hoặc ứng dụng phpMyAdmin.
  • Xóa các ứng dụng bị lỗi, không xác định hoặc đáng ngờ.
  • Không mặc định số cổng, bao gồm 22, 443, 80, 8080 và 8081.
  • Tắt Dịch vụ xuất bản và cấu hình bộ định tuyến tự động.
  • Hạn chế quyền kiểm soát truy cập trong myQNAPcloud.

Các bước trên sẽ ngăn thiết bị QNAP của bạn trở thành mục tiêu của các cuộc tấn công này. Việc bị nhiễm QSnatch không chỉ khiến thông tin đăng nhập của bạn có nguy cơ bị đánh cắp mà tất cả dữ liệu của bạn cũng sẽ bị xóa khi bạn định dạng lại ổ NAS để loại bỏ phần mềm độc hại. Vì vậy, để ngăn điều này xảy ra, hãy đảm bảo thực hiện các biện pháp bảo mật nghiêm ngặt trên ổ đĩa của bạn trước khi quá muộn.