コンピュータのメンテナンス
 Computer >> コンピューター >  >> トラブルシューティング >> コンピュータのメンテナンス

Qsnatch マルウェアを駆除する方法

QNAP によって設計された Network Attached Storage または NAS デバイスは、QSnatch という名前のマルウェアに対して脆弱であることが判明しています。この警告は、米国のサイバーセキュリティおよびインフラストラクチャ セキュリティ機関 (CISA) と英国の国立サイバー セキュリティ センター (NCSC) によって発行された勧告に基づいています。

QNAP は、コンピューターや電話などのさまざまなデバイスやその他の多くのプログラムのローカル クラウド バックアップとして使用される NAS デバイスを作成します。カスタムビルドの Linux オペレーティング システムを採用しているため、QSnatch マルウェアはさらに印象的です。マルウェアがどのように配布され、攻撃者が誰で、その目的が何であるかはまだ不明です。

Qsnatch マルウェアとは?

QSnatch は、NAS デバイスを標的とした 2020 年に発見された 4 番目のマルウェアです。このインシデントは、Synology デバイスに影響を与えたランサムウェア株と、QNAP デバイスに感染した eCh0raix および Muhstik ランサムウェアが発見された後に発生しました。

今回、ハッカーは、QSnatch と呼ばれる新しいマルウェアを使用して、台湾のメーカー QNAP の数万台のネットワーク接続ストレージ デバイスを感染させました。

QSnatch マルウェアのさまざまなバージョンが、早ければ 2014 年と 2017 年という何年にもわたって発見されてきました。セキュリティ機関は、この感染を広めるために設計された 2 つの特定のキャンペーンを特定しました。最後のキャンペーンは 2019 年 11 月にさかのぼります。

興味深いことに、セキュリティの専門家は QSnatch がどのように拡散するかをまだ把握していませんが、感染段階でデバイスのファームウェアに挿入され、感染後に悪意のあるコードがデバイス内で実行され、侵害されるようです。攻撃者がファームウェアに見つかったリモートで悪用可能な脆弱性を悪用し、悪意のあるコードをファームウェアに挿入できる可能性が非常に高い.

QSnatch は、感染したデバイスからログイン資格情報やシステム構成などの機密情報を収集することができます。これらのデータ侵害の懸念により、「駆除」された感染した QNAP デバイスは、マルウェアを削除した後でも再感染の危険にさらされている可能性があります。

ドイツのコンピューター緊急対応チーム (CERT-Bund) によると、ドイツでは 7,000 件を超える QSnatch 感染が報告されています。 6 月には、世界中で感染したデバイスの数が 62,000 に達し、米国では約 7,600、英国では 3,900 に達しました。

QSnatch の仕組み

QSnatch は、CGI パスワード ロガーを使用して資格情報を盗み、ハッカーに SSH バックドアを提供し、データ (システム構成とログ ファイルを含む) をエクスポートし、リモート アクセス用の Web シェル機能を提供するために作成された非常に高度なマルウェアです。

マルウェアが NAS ドライブにインストールされると、ホスト ファイルを変更し、NAS ドライブが使用するコア ドメイン名を古いローカル バージョンにリダイレクトすることで永続化し、更新が取得されないようにします。

セキュリティ アラートによると、QSnatch の新しいバージョンには、次のようなモジュールの機能を含む、改善された広範な機能セットが付属しています。

  • デバイス管理ログイン ページの偽バージョンをインストールし、正当な認証をログに記録し、正当なログイン ページに転送するための CGI パスワード ロガー。
  • 認証情報スクレーパー
  • ハッカーがデバイス上で任意のコードを実行できるようにする SSH バックドア
  • QSnatch が、システム構成やログ ファイルなど、あらかじめ決められたファイルのリストを盗むことを可能にする流出。これらは通常、ハッカーの公開鍵で暗号化され、HTTPS 経由でインフラストラクチャに転送されます。
  • リモート アクセス用の Webshel​​l 機能

セキュリティの専門家は、現在のバージョンの QSnatch マルウェアが実行できることを分析することに成功しましたが、マルウェアが最初にどのようにデバイスに感染するかという重要な要因の 1 つを回避できませんでした。

前述のように、ハッカーが QNAP ファームウェアで見つかった脆弱性を悪用したり、攻撃者が管理者アカウントに一般的なパスワードを使用したりする可能性があります。残念ながら、これらの方法はどれも疑いの余地なく検証できませんでした.

しかし、ハッカーが足場を固めると、QSnatch マルウェアがファームウェアに挿入され、デバイスを完全に制御します。次に、感染した NAS で生き残るために、ファームウェアの今後の更新をブロックします。

マルウェアは非常に永続的であるため、管理者はファームウェアの更新をインストールできません。信頼できるアンチウイルスを使用すると、通常のマルウェアには有効かもしれませんが、この場合は効果がありません。ユーザーは、ファームウェアをアップグレードして最新のアップデートをすべてインストールし、その過程でマルウェアを削除する前に、工場出荷時の状態に完全にリセットする必要があります。

Qsnatch マルウェアを削除する方法

マルウェアが DDoS 攻撃や暗号通貨マイニングのために作成されたのか、機密データを盗むために開発された QNAP デバイスや将来のホスト マルウェアのバックドアとして機能するために作成されたのかは不明です。

しかし、現時点では、QSnatch を削除する唯一の成功した方法は、NAS デバイスの完全な工場出荷時設定へのリセットを実行することです。リセット後、利用可能な QNAP NAS ファームウェア アップデートの最新バージョンをインストールすることをお勧めします。

あなたの組織がこのマルウェアに感染している場合、QNAP は以下を推奨します:

「QNAP は 11 月 1 日に QTS オペレーティング システム用の Malware Remover アプリを更新し、QNAP NAS からマルウェアを検出して削除しました。 QNAP は、この問題に対処するために、11 月 2 日に更新されたセキュリティ アドバイザリもリリースしました。 QTS App Center から、または QNAP Web サイトから手動でダウンロードして、Malware Remover アプリの最新バージョンをインストールすることをお勧めします。 QNAP は、QNAP NAS セキュリティ強化のための一連のアクションも推奨しています。セキュリティ アドバイザリにも詳細が記載されています。」

最新のファームウェアに更新するには、次のリンクに従ってください:https://www.qnap.com/en/download

以下の手順に従うこともできます:

<オール>
  • 管理者として QTS にログインします。
  • [コントロール パネル]> [システム]> [ファームウェアの更新] に移動します。
  • [アップデートの確認] をクリックします ライブ アップデートの下。
  • QTS は利用可能な最新のアップデートをダウンロードしてインストールします。

    • 以下の手順に従って、QNAP のビルトイン Malware Remover も更新する必要があります。

    <オール>
  • 管理者として QTS にログインします。
  • アプリ センターを開く をクリックし、(+) ボタンをクリックします。
  • 手動インストールのダイアログ ボックスが表示されたら、手順を読みます。
  • [参照] をクリックします .
  • ファイル ブラウザが表示されたら、インストーラ ファイルを見つけて選択します。
  • [インストール] をクリックします .
  • 確認メッセージが表示されます。
  • [OK] をクリックします .
  • QTS は Malware Remover の最新バージョンをインストールする必要があります。
  • 確認メッセージが表示されたら、[OK] をクリックします。 .
  • 必要な更新ダイアログ ボックスが表示されたら、[今すぐ更新] をクリックします。
  • QTS は Malware Remover を最新バージョンに更新する必要があります。
  • マルウェア リムーバーを開き、[スキャン開始] をクリックします。

    • これにより、NAS でマルウェアがスキャンされ、検出された脅威が削除されます。

    QSnatch 感染を防ぐ方法

    マルウェアの感染を防ぐために、QNAP は次のセキュリティ対策も強くお勧めします:

    • 管理者パスワードを変更し、独自の強力なパスワードを使用してください。
    • 他のユーザーのパスワードを変更し、できるだけランダムにします。
    • QNAP ID のパスワードも変更してください。
    • より強力なデータベース ルート パスワードを使用して、クラックを困難にします。
    • マルウェアによって作成された可能性がある、なじみのない、または疑わしいアカウントを削除します。
    • ブルート フォース攻撃を回避するために IP およびアカウント アクセス保護を有効にする
    • これらのサービスが使用されていない場合は、SSH および Telnet 接続を無効にします。
    • Web サーバー、SQL サーバー、または phpMyAdmin アプリも無効にします。
    • 欠陥のある、不明な、または疑わしいアプリを削除します。
    • 22、443、80、8080、8081 などのポート番号をデフォルトにしないでください。
    • Auto Router Configuration と Publish Services を無効にする
    • myQNAPcloud でアクセス制御を制限します。

    上記の手順により、QNAP デバイスがこれらの攻撃の対象になるのを防ぐことができます。 QSnatch に感染すると、資格情報が盗まれる危険にさらされるだけでなく、NAS ドライブを再フォーマットしてマルウェアを削除すると、すべてのデータが削除されます。したがって、これを防ぐには、手遅れになる前にドライブに厳格なセキュリティ対策を実装してください。


    1. Mac でアドウェアを駆除する方法

      アドウェアは PC だけのものではありません。確かに、あなたの Mac はウイルスから守られていると思うかもしれませんが、実際にはその逆であり、アドウェアは Apple 製のコンピュータに対する最大の脅威の 1 つです。 Adware for Macs は、迷惑な可能性があるプログラム (PUP) の一種で、デバイスに感染するように設計されているため、ブラウザ内に侵入型の広告を表示したり、疑わしい Web サイトにリダイレクトしたりします。 AV-TEST のデータによると、2019 年の 58,193 と比較して、2020 年だけで 673,676 の macOS マルウェアの新しい亜種

    2. Chromium マルウェアを駆除する方法

      コンピュータを使用しているときに、通常とは異なるアクティビティや疑わしいアクティビティが見られる場合は、最近のダウンロードを確認することをお勧めします。 Chromium マルウェアは、フリー ソフトウェア プログラムと一緒にサイレント アドオン プログラムとしてダウンロードされる場合に特によくある問題です。システムにマルウェアが侵入しないようにするには、ライセンスと契約の詳細をよくお読みください。問題を無視することは、システムにとって良いことではありません。なぜなら、外来要素の影響により、重要なデータが危険にさらされるからです. クロムとは? Chromium はオープン ソースの Web