事例Use case

【Bitdefender海外ブログ】QNAP NASデバイスを標的とするマルウェアQSnatch 6年間で攻撃を受けたデバイス数は?

2020.10.23

ツイート シェア 送る はてブ

Cyber-Attack-A01-000068635057_XXXLarge.jpg

認証情報の不正入手などを行うマルウェア"QSnatch"

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と英国の国立サイバーセキュリティーセンター(NCSC)は、QNAP製のネットワーク接続型ストレージ(NAS)デバイスがQSnatchというマルウェアに対して脆弱であるとする注意喚起を発表しました。

QNAP社は、コンピューター、電話、その他多くのアプリケーションのローカルクラウドバックアップ用のNASデバイスを開発しています。カスタムビルドのLinux OSを使用しているため、マルウェアに感染するという報告は衝撃的ですが、感染経路や、実行者の正体、目的はまだ特定できていません。

QSnatchは、CGIパスワードロガーを介した認証情報の不正入手、認証情報のスクレイピング、攻撃者へのSSHバックドア提供、システム構成やログファイルなどのデータ抜き出し、リモートアクセスのためのウェブシェル機能提供などを行う、非常に高度なマルウェアです。

マルウェアが侵入すると、ホストファイルを変更して永続化し、NASが使用するコアドメイン名を古いローカルバージョンにリダイレクトするため、更新が取得できなくなります。

発表では、「感染経路は特定されていないが、QSnatchは感染段階でデバイスのファームウェアに侵入し、その後不正コードがデバイス内で実行され、侵害が起こると考えられる。攻撃者はドメイン生成アルゴリズム(DGA)を使用して、コマンド&コントロール(C2)通信で使用する複数のドメイン名を定期的に生成するC2チャネルを確立している」とされています。

ハッカー2.jpg

すでに6万台以上のQNAPデバイスが感染

マルウェアは永続的に存在しますが、管理者はファームウェアの更新をインストールできません。そのため、ファームウェアを更新する前に、工場出荷時のデフォルト設定に完全にリセットしなければいけません。そして、最新のアップデートをすべてインストールする必要があります。

QNAP社は、Malware RemoverとSecurity Counselorの最新版への更新、すべての認証情報の変更、疑わしいアカウントや不明なアカウントの削除、SSHやTelnetなどの使用されていないすべてのネットワーク機能の無効化をクライアントに推奨しています。

2020年6月中旬までに、米国で約7,600台、英国で約3,900台を含む合計6万2千台のQNAPデバイスが感染していることがわかりました。2014年に最初の感染が判明してから6年間、QSnatchは今日もまだ攻撃を続けています。

翻訳元記事 QNAP NAS Devices Targeted by QSnatch Malware for Six Years and Counting

IoT機器にも効果的なマルウェア対策を提供する「SECURIE」

家庭内や小規模事務所には、従来のセキュリティソフトの保護が及ばないネットワークプリンター、ウェブカメラ、NAS、スマートテレビなどのIoT機器が存在します。そのような機器に対する保護には、ネットワーク上の機器の新たな脆弱性を警告したり、不正な通信を検知することも必要になります。

BBSSが提供する「SECURIE」は、ランサムウェアに代表される複合的な機能や感染経路を持つマルウェアに対しても、非常に効果的なプロテクションを提供します。
securie_201023.PNG