Computer >> 컴퓨터 >  >> 문제 해결 >> 컴퓨터 유지 보수

Qsnatch Malware를 제거하는 방법

QNAP에서 설계한 네트워크 연결 스토리지 또는 NAS 장치는 QSnatch라는 맬웨어에 취약한 것으로 밝혀졌습니다. 이 경고는 미국 사이버 보안 및 기반 시설 보안국(CISA)이 영국 국가 사이버 보안 센터(NCSC)와 함께 발행한 권고에 따른 것입니다.

QNAP는 컴퓨터, 전화와 같은 다양한 장치는 물론 기타 여러 프로그램에 대한 로컬 클라우드 백업으로 사용되는 NAS 장치를 만듭니다. QSnatch 악성코드를 더욱 인상적으로 만드는 맞춤형 Linux 운영 체제를 사용합니다. 멀웨어가 어떻게 유포되고 공격자가 누구이며 그들의 목적이 무엇인지는 여전히 불분명합니다.

Qsnatch 악성코드란 무엇입니까?

QSnatch는 2020년에 발견된 네 번째 악성코드 변종으로 NAS 장치를 표적으로 삼았습니다. 이 사건은 Synology 장치에 영향을 미친 랜섬웨어 변종과 QNAP 장치를 감염시킨 eCh0raix 및 Muhstik 랜섬웨어가 발견된 후 발생했습니다.

이번에는 해커가 QSnatch라는 새로운 멀웨어로 대만 제조업체인 QNAP의 수만 대의 네트워크 연결 저장 장치를 감염시켰습니다.

QSnatch 멀웨어의 다양한 버전이 이미 2014년과 2017년에 이미 여러 해 동안 발견되었습니다. 보안 기관은 이 감염을 확산시키도록 설계된 두 가지 특정 캠페인을 식별했으며, 마지막 캠페인은 2019년 11월로 거슬러 올라갑니다.

흥미롭게도 보안 전문가들은 여전히 ​​QSnatch가 어떻게 확산되는지 알지 못하지만 감염 단계에서 기기 펌웨어에 주입되는 것으로 보이며 감염 후 기기 내에서 악성 코드가 실행되어 손상시킵니다. 공격자가 펌웨어에서 발견된 원격 악용 가능한 취약점을 악용하여 악성 코드가 펌웨어에 주입될 가능성이 높습니다.

QSnatch는 로그인 자격 증명 및 시스템 구성을 포함하여 감염된 장치에서 기밀 정보를 수집할 수 있습니다. 이러한 데이터 침해 문제로 인해 "치료된" 감염된 QNAP 장치는 맬웨어를 삭제한 후에도 여전히 재감염의 위험이 있습니다.

독일 컴퓨터 비상 대응 팀(CERT-Bund)에 따르면 독일에서 7,000건 이상의 QSnatch 감염이 보고되었습니다. 6월에 전 세계적으로 감염된 기기의 수는 62,000개에 달했으며 미국은 약 7,600개, 영국은 3,900개입니다.

QSnatch의 작동 원리

QSnatch는 CGI 암호 로거를 사용하여 자격 증명을 훔치고, 해커에게 SSH 백도어를 제공하고, 데이터(시스템 구성 및 로그 파일 포함)를 내보내고, 원격 액세스를 위한 웹 셸 기능을 제공하기 위해 생성된 매우 정교한 멀웨어입니다.

맬웨어가 NAS 드라이브에 설치되면 호스트 파일을 수정하고 NAS 드라이브에서 사용하는 핵심 도메인 이름을 오래된 로컬 버전으로 리디렉션하여 업데이트를 검색할 수 없도록 하여 영구적이 됩니다.

보안 경고에 따르면 새 버전의 QSnatch는 다음과 같은 모듈 기능을 포함하는 개선되고 광범위한 기능 세트와 함께 제공됩니다.

  • 기기 관리자 로그인 페이지의 가짜 버전을 설치하고, 합법적인 인증을 기록하고, 합법적인 로그인 페이지로 전달하기 위한 CGI 암호 로거
  • 자격 증명 스크래퍼
  • 해커가 기기에서 임의의 코드를 실행할 수 있도록 하는 SSH 백도어
  • QSnatch가 시스템 구성 및 로그 파일을 포함하여 미리 결정된 파일 목록을 훔칠 수 있도록 하는 유출입니다. 이들은 일반적으로 해커의 공개 키로 암호화되어 HTTPS를 통해 해커의 인프라로 전달됩니다.
  • 원격 액세스를 위한 웹쉘 기능

보안 전문가가 현재 버전의 QSnatch 멀웨어가 수행할 수 있는 작업을 분석하는 데 성공했지만 한 가지 중요한 요소는 이를 회피하는 데 실패했습니다. 바로 멀웨어가 처음에 기기를 감염시키는 방법입니다.

앞서 언급했듯이 해커는 QNAP 펌웨어에서 발견된 취약점을 악용하거나 공격자가 관리자 계정에 대한 일반 암호를 사용할 수 있습니다. 불행히도 이러한 방법 중 어느 것도 의심의 여지 없이 검증할 수 없었습니다.

그러나 해커가 발판을 마련하면 QSnatch 악성코드가 펌웨어에 주입되어 장치를 완전히 제어합니다. 그런 다음 감염된 NAS에서 살아남기 위해 향후 펌웨어 업데이트를 차단합니다.

맬웨어가 매우 지속되기 때문에 관리자는 펌웨어 업데이트를 설치할 수 없습니다. 신뢰할 수 있는 바이러스 백신을 사용하면 일반 맬웨어에서 작동할 수 있지만 이 경우에는 효과적이지 않습니다. 사용자는 펌웨어를 업그레이드하고 모든 최신 업데이트를 설치하기 전에 전체 공장 초기화를 수행해야 하며 프로세스에서 악성 코드를 삭제해야 합니다.

Qsnatch 멀웨어를 제거하는 방법

멀웨어가 DDoS 공격, 암호화폐 채굴을 위해 생성되었는지, 아니면 기밀 데이터를 훔치거나 향후 호스트 멀웨어를 호스트하기 위해 개발된 QNAP 장치의 백도어 역할을 하기 위해 생성되었는지는 확실하지 않습니다.

그러나 현재로서는 QSnatch를 제거하는 유일한 성공적인 방법은 NAS 장치의 전체 공장 초기화를 수행하는 것입니다. 재설정한 후 사용자는 사용 가능한 최신 버전의 QNAP NAS 펌웨어 업데이트를 설치하는 것이 좋습니다.

조직이 이 맬웨어에 감염된 경우 QNAP에서 권장하는 사항은 다음과 같습니다.

“QNAP는 11월 1일에 QTS 운영 체제용 Malware Remover 앱을 업데이트하여 QNAP NAS에서 멀웨어를 탐지하고 제거했습니다. QNAP은 또한 11월 2일에 이 문제를 해결하기 위해 업데이트된 보안 권고를 발표했습니다. 사용자는 QTS App Center에서 최신 버전의 Malware Remover 앱을 설치하거나 QNAP 웹사이트에서 수동으로 다운로드해야 합니다. QNAP는 또한 QNAP NAS 보안 향상을 위한 일련의 조치를 권장합니다. 보안 권고에도 자세히 나와 있습니다.”

최신 펌웨어로 업데이트하려면 다음 링크를 따르십시오:https://www.qnap.com/en/download

아래 지침을 따를 수도 있습니다.

  1. QTS에 관리자로 로그인합니다.
  2. 제어판> 시스템> 펌웨어 업데이트로 이동합니다.
  3. 업데이트 확인 을 클릭합니다. 라이브 업데이트에서
  4. QTS는 사용 가능한 최신 업데이트를 다운로드하여 설치합니다.

아래 단계에 따라 QNAP의 내장 Malware Remover도 업데이트해야 합니다.

  1. QTS에 관리자로 로그인합니다.
  2. 앱 센터 열기 을 클릭한 다음 (+) 버튼을 클릭합니다.
  3. 수동 설치 대화 상자가 나타나면 지침을 읽으십시오.
  4. 찾아보기를 클릭합니다. .
  5. 파일 브라우저가 나타나면 설치 프로그램 파일을 찾아 선택합니다.
  6. 설치를 클릭합니다. .
  7. 확인 메시지가 나타납니다.
  8. 확인을 클릭합니다. .
  9. QTS는 이제 최신 버전의 Malware Remover를 설치해야 합니다.
  10. 확인 메시지가 나타나면 확인을 클릭합니다. .
  11. 필요한 업데이트 대화 상자가 나타나면 지금 업데이트를 클릭합니다.
  12. QTS는 Malware Remover를 최신 버전으로 업데이트해야 합니다.
  13. Malware Remover를 연 다음 검사 시작을 클릭합니다.

이렇게 하면 NAS에서 맬웨어를 검색하고 발견된 모든 위협을 삭제해야 합니다.

QSnatch 감염을 예방하는 방법

맬웨어 감염을 방지하기 위해 QNAP는 다음 보안 조치도 강력히 권장합니다.

  • 관리자 비밀번호를 변경하고 고유하고 강력한 비밀번호를 사용하세요.
  • 다른 사용자 비밀번호를 변경하고 가능한 한 무작위로 만드십시오.
  • QNAP ID 비밀번호도 변경하십시오.
  • 강력한 데이터베이스 루트 암호를 사용하여 크랙하기 어렵게 만듭니다.
  • 맬웨어가 생성했을 수 있는 익숙하지 않거나 의심스러운 계정을 제거합니다.
  • 무차별 대입 공격을 피하기 위해 IP 및 계정 액세스 보호를 활성화합니다.
  • 이러한 서비스를 사용하지 않는 경우 SSH 및 Telnet 연결을 비활성화합니다.
  • 웹 서버, SQL 서버 또는 phpMyAdmin 앱도 비활성화합니다.
  • 결함이 있거나 알 수 없거나 의심스러운 앱을 제거합니다.
  • 22, 443, 80, 8080, 8081을 포함한 기본 포트 번호를 사용하지 마십시오.
  • 자동 라우터 구성 및 게시 서비스를 끕니다.
  • myQNAPcloud에서 액세스 제어를 제한합니다.

위의 단계는 QNAP 장치가 이러한 공격의 대상이 되는 것을 방지해야 합니다. QSnatch에 감염되면 자격 증명이 도난당할 위험이 있을 뿐만 아니라 NAS 드라이브를 다시 포맷하여 악성코드를 제거할 때 모든 데이터도 삭제됩니다. 따라서 이러한 일이 발생하지 않도록 하려면 너무 늦기 전에 드라이브에 엄격한 보안 조치를 구현해야 합니다.