QSnatch恶意软件突破八倍增长! 从7000个僵尸程序增至62000多个

QSnatch恶意软件突破八倍增长! 从7000个僵尸程序增至62000多个
2020年07月29日 09:25 E安全

E安全7月29日讯,近日据外媒报道,根据美国CISA和英国NCSC联合发出的安全警报,QSnatch恶意软件于2019年底首次被发现,已经感染了台湾设备制造商QNAP的网络连接存储(NAS)设备,现已从7000个僵尸程序增长到62000多个。

根据,CISA和NSCS表示,大约有7600台受感染的设备位于美国,约有3900台感染位于英国。两家机构表示:“虽然该软件是2019年年底被发现的,但是他第一次被应用始于2014年初,一直持续到2017年中期,而第二次出现应该开始于2018年底,目前仍在活跃,这两个活动使用了不同版本的QSnatch恶意软件。”

据悉,此次两个机构的联合警报重点关注了最新攻击中使用的新版本QSNATCH恶意软件,该软件具有一组增强且广泛的功能,其中包括以下模块:

  • CGI密码记录器:这将安装一个假冒的设备管理登录页面,记录成功的身份验证并将其传递到合法的登录页面。

  • 凭据刮刀

  • SSH后门:这允许网络参与者在设备上执行任意代码。

  • 渗透:当运行时,QSnatch会窃取预先确定的文件列表,其中包括系统配置和日志文件,这些操作会使用到参与者的公钥加密,并通过HTTPS发送到它们的基础设施上。

  • 远程访问的Webshell功能

目前而言,尽管CISA和NCSC的专家们设法分析了当前QSnatch恶意软件,但他们表示,有一个谜团依旧没有解开——恶意软件最初是如何感染设备的?

对此,有研究人员猜测攻击者可能正在利用QNAP固件中的漏洞,或者可能正在为管理员帐户使用默认密码。但是,毫无疑问这一切目前都无法得到验证。

随后,在防御层面,研究人员表示一旦攻击者站稳脚跟,CISA和NCSC就会将QSnatch恶意软件注入固件,从中完全控制设备,然后阻止黑客对固件的操作和更新。同时,CISA和NCSC正在敦促相关公司修补QNAP NAS设备,他们认为使用QNAP设备的公司和用户应该按照台湾供应商支持页面上列出的补救和缓解步骤进行操作,以摆脱QSnatch的骚扰并防止将来受到感染。

财经自媒体联盟

新浪首页 语音播报 相关新闻 返回顶部