Qnap Qsnatch malware

woensdag 30 oktober 2019 13:43

Acties:

+2 Henk 'm!

Topicstarter

hallo Tweakers,

vanmorgen rond 09:00 is er door het KPN Abuse team een mail naar een kennis van mij gestuurd met de waarschuwing dat er een beveiligingsprobleem is aangetroffen op zijn internet verbinding. Een Malware infectie genaamd Qsnatch is gedetecteerd op een QNAP NAS die toegankelijk was vanaf het internet.

Tot zover is nog niet bekend welke infectie methode gebruikt is. via een C2 server worden de volgende gegevens verstuurd van QNAP naar C2:

Operating system timed jobs and scripts are modified (cronjob, init scripts)
Firmware updates are prevented via overwriting update sources completely
QNAP MalwareRemover App is prevented from being run
All usernames and passwords related to the device are retrieved and sent to the C2 server
The malware has modular capacity to load new features from the C2 servers for further activities
Call-home activity to the C2 servers is set to run with set intervals

Bij deze meer informatie omtrent Qsnatch:
https://www.kyberturvalli...designed-qnap-nas-devices

Mocht je een QNAP device hebben en deze beschikbaar gemaakt hebben van buitenaf dan raad ik aan de toegang per direct te blokkeren in zowel de QNAP zelf als de Firewall. Daarnaast is het verstandig om een factory reset uit te voeren.

QNAP heeft een standaard procedure uitgeschreven voor het opschonen van de NAS:
https://www.qnap.com/en/security-advisory/nas-201902-13

woensdag 30 oktober 2019 14:22

Acties:

0 Henk 'm!

cat_byte

The malware can be removed from an infected device with two possible methods: performing a full factory reset (effectively destroying all stored data within the device). Another unconfirmed method is to apply an update provided by the vendor (see link below).

Behalve de factory reset kun je (al is niet bevestigd dat dit werkt) een firmware-update uitvoeren. De link verwijst naar https://www.qnap.com/en/security-advisory/nas-201902-13. Een artikel van QNAP uit februari dit jaar.

Wat mij niet duidelijk is: zijn apparaten die up-to-date zijn dan sowieso bestand tegen qsnatch? Of gaat het erom dat de firmware overschreven wordt?

Jammer dat QNAP zelf zwijgt in alle talen over Qsnatch. Op het forum aldaar is wel een topic geopend: https://forum.qnap.com/viewtopic.php?t=151402

[ Voor 3% gewijzigd door cat_byte op 30-10-2019 14:25 ]

woensdag 30 oktober 2019 14:52

Acties:

0 Henk 'm!

stikz

Topicstarter

Bedankt voor de aanvulling cat_byte. Inderdaad erg jammer dat QNAP niets naar buiten brengt over een mijn inziens vrij serieus beveiligings probleem.

cat_byte schreef op woensdag 30 oktober 2019 @ 14:22:
[...]

Wat mij niet duidelijk is: zijn apparaten die up-to-date zijn dan sowieso bestand tegen qsnatch? Of gaat het erom dat de firmware overschreven wordt?

Ook dit is mij nog niet duidelijk. Voor nu zou ik aanraden alle externe toegang tot het apparaat maar volledig af te sluiten.

Edit 31-10:
Gisteravond een scan gedaan op de betreffende QNAP NAS na dat ik eerst een handmatige Firmware update moest uitvoeren. De malware blokkeert dit namelijk samen met het installeren van de Malware removal tool. De resultaten:

[ Voor 27% gewijzigd door stikz op 31-10-2019 15:08 ]

donderdag 31 oktober 2019 22:31

Acties:

0 Henk 'm!

cat_byte

Inmiddels schijnen er zo'n 7000 apparatenin Duitsland besmet te zijn.... Dat gaat heel hard.

Volgens CERT-bund betreft het apparaten met oude firmware. https://twitter.com/certbund/status/1189889491001073664

donderdag 31 oktober 2019 22:38

Acties:

0 Henk 'm!

glatuin

Ik houd alles netjes bij qua firmware, maar ja ik ben IT-er. Mijn qnap is OK, laatste firmware dagelijkse malware scan.
Ik kan me goed voorstellen dat er veel QNAP's zijn die alleen als file server of wat dan ook dienen en men nooit inlogt. Er zou een optie moeten komen die firmware automatische update, met name voor de thuis nasjes (tenzij je het uitzet). Als het slechts 7000 thuis nasjes zijn valt het nog mee.

vrijdag 1 november 2019 12:15

Acties:

+3 Henk 'm!

R0GGER

glatuin schreef op donderdag 31 oktober 2019 @ 22:38:
Als het slechts 7000 thuis nasjes zijn valt het nog mee.

Uhh... dit is alleen in Duitsland, dus het zijn er zeer waarschijnlijk veel meer!

QNAP loopt achter op het gebied van beveiliging. Ik vind dat dat focus daar veel meer op zou moeten liggen bij dit bedrijf... Een paar simpele voorbeelden;

Geen auto-update (firmware) zoals Synology heeft.
Standaard geïnstalleerde software zoals PHP, Apache2, MariaDB etc. worden laat bijgewerkt, voorbeeld: MariaDB 5.5.57 - Release date: 19 Jul 2017
UPnP Discovery Service - UITZETTEN!
Beperkte mogelijkheden in Allow/Deny list in QNAP ControlPanel > Security
Geen firewall mogelijkheden in QNAP zelf

[ Voor 1% gewijzigd door R0GGER op 01-11-2019 18:29 . Reden: ehh... spelling. ]

vrijdag 1 november 2019 18:38

Acties:

+2 Henk 'm!

RBouwman

Ter info: QNAP heeft een reactie gegeven: https://www.qnap.com/en/s...9e1HfQWZ2B5dIBc8umkRQYkC4

En deze op het QNAP forum kan ook nog wel handig zijn: https://forum.qnap.com/vi...6708ce569297d3f8b09e40b2b

vrijdag 1 november 2019 20:15

Acties:

0 Henk 'm!

B-Bandit

Mijn nas was ook geinfecteerd. Althans, zo begreep ik van KPN Abuse. Gelijk firmware geupdate, wachtwoorden gewijzigd en malwareremover gedraaid. Lijkt erop dat het zo goed is...

Had alleen ontzettend veel last van random inlogpogingen op mijn nas. Afgelopen nacht minstens 500x. Heb de ip toegang beperkt tot mijn eigen pc en zojuist de standaard poort van 8080 af gehaald. Kijken of dat nog verschil maakt.

vrijdag 1 november 2019 20:21

Acties:

0 Henk 'm!

Speedy_Gonzalez

Aaribaaaaaa

Ik ben bezig om die malware remover te installeren op m'n TS-469L met firmware 4.3.4.1082 build 20190921, maar de installatie lijkt forever te duren en gaat gewoon niet verder.

Moet ik me al zorgen maken ?

vrijdag 1 november 2019 21:47

Acties:

0 Henk 'm!

mjl

Ugh

Wat zijn de domein namen of ip's van de C2 servers? Dan kunnen we die ook blokkeren in een pi-hole of firewall.

Ik zie in iedergeval geen verdachte activiteit in mijn pi-holes, heb de nas dan ook niet direct aan het internet hangen.

Speedy_Gonzalez schreef op vrijdag 1 november 2019 @ 20:21:
Ik ben bezig om die malware remover te installeren op m'n TS-469L met firmware 4.3.4.1082 build 20190921, maar de installatie lijkt forever te duren en gaat gewoon niet verder.

Moet ik me al zorgen maken ?

Kijk even of je verdacht verkeer van je qnap ip ziet in je firewall of pi-hole bijv. update.qnap.com en download.qnap.com zijn OK, verder zou ik niks verwachten zolang je verder geen andere services hebt draaien die bijv. iets downloaden.

[ Voor 57% gewijzigd door mjl op 01-11-2019 22:07 ]

-------

zaterdag 2 november 2019 11:23

Acties:

0 Henk 'm!

michelk31

Qnap heeft een nieuwe malware remover gelanceerd. Deze kan de malware verwijderen.

zaterdag 2 november 2019 16:30

Acties:

0 Henk 'm!

cat_byte

Sinds ik de nieuwe versie erop heb staan, werkt de malware remover app niet. (blijft op "loading" staan, terwijl ik wel notificaties zie dat er wordt gescand.). Malware scanner heeft tot nu toe geen enkele keer iets gevonden.
Ook het script dat via hier via ssh uit te voeren is, vindt niets:

code:

1	curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh \| sh

Ik ga iig de firmware handmatig opnieuw installeren.. kijken wat dat doet.

[ Voor 0% gewijzigd door cat_byte op 02-11-2019 21:01 . Reden: tag was niet goed afgesloten ]

zaterdag 2 november 2019 17:05

Acties:

+1 Henk 'm!

michelk31

Opgelet heb je de laatste versie van de malware remover.

De laatste versie is Malware Remover 4.5.4.0.

Ik heb de qnap file gedownload op hun website.
Daarna de oude malware remover verwijderd en de nieuwe geïnstalleerd.
Gewoon upgraden lukte niet.

[ Voor 41% gewijzigd door michelk31 op 02-11-2019 17:07 ]

zaterdag 2 november 2019 17:11

Acties:

+1 Henk 'm!

johnkeates

Ik snap niet dat mensen hun NAS of ander embedded apparaat zomaar aan internet hangen. Het gaat gewoon gegarandeerd mis... Nu is een VPN server installeren en die gebruiken ook niet perse heilig, maar het zorgt er wel voor dat je attack surface een stuk kleiner wordt en je te beschermen service gewoon een stuk beter te beheren is. En als je NAS geen goede VPN packages heeft kan je het altijd nog op een ander apparaat draaien.

Dit lost natuurlijk lokale exploits niet op, je kan nog steeds via DNS rebinding een lokaal apparaat via een web exploit van buiten af bereiken en aanvallen, maar dat is al een stuk meer hordes dan gewoon een massscan doen of even op shodan kijken.

[ Voor 22% gewijzigd door johnkeates op 02-11-2019 17:12 ]

zaterdag 2 november 2019 17:35

Acties:

+1 Henk 'm!

cat_byte

michelk31 schreef op zaterdag 2 november 2019 @ 17:05:
Opgelet heb je de laatste versie van de malware remover.

De laatste versie is Malware Remover 4.5.4.0.

Ik heb de qnap file gedownload op hun website.
Daarna de oude malware remover verwijderd en de nieuwe geïnstalleerd.
Gewoon upgraden lukte niet.

Dat is afhankelijk van welke NAS je hebt. Zowel versie 3.5.4.0 als 4.5.4.0 zijn vandaag uitgebracht (Afhankelijk van architectuur van je NAS).

Bij mij bleek er gelukkig niets aan de hand te zijn. behalve een beetje brakke update. Bij het verwijderen van malware remover en vervolgens handmatig installeren, werkt de interface ook weer. Hier te downloaden: https://www.qnap.com/en/a....4.1&type_choose=Security (wel even je QTS en Nas in het dropdown-menu aanvinken).

Was dus even paniek omdat Qsnatch er juist voor zorgt dat je malware remover niet meer kan starten en dan krijg je zo'n update die niet goed gaat

. Eind goed, al goed.

johnkeates schreef op zaterdag 2 november 2019 @ 17:11:
Ik snap niet dat mensen hun NAS of ander embedded apparaat zomaar aan internet hangen. Het gaat gewoon gegarandeerd mis... Nu is een VPN server installeren en die gebruiken ook niet perse heilig, maar het zorgt er wel voor dat je attack surface een stuk kleiner wordt en je te beschermen service gewoon een stuk beter te beheren is. En als je NAS geen goede VPN packages heeft kan je het altijd nog op een ander apparaat draaien.

Zeg dat maar eens tegen de fabrikanten; die adverteren volop met hoe ahndig het wel niet is dat je je NAS vanaf internet kunt bereiken. Als je dan gebruikers hebt die niet de boel up-to-date houden en driekwart van de instellingen niet snappen, krijg je inderdaad dit soort taferelen. De meeste mensen wéten ook gewoon niet beter. Op dit forum zijn we nu niet echt een goede afspiegeling van de I(C)T-kennis van de gemiddelde Nederlander.

[ Voor 0% gewijzigd door cat_byte op 02-11-2019 20:59 . Reden: typo ]

zaterdag 2 november 2019 19:01

Acties:

0 Henk 'm!

jvanhambelgium

johnkeates schreef op zaterdag 2 november 2019 @ 17:11:
Ik snap niet dat mensen hun NAS of ander embedded apparaat zomaar aan internet hangen. Het gaat gewoon gegarandeerd mis...

Ik verschiet er ook van eigenlijk...hoe vaak lees je niet dat een n00b een (nieuwe) NAS gekocht heeft en het eerste dat ze willen : het ding "aan internet hangen om het van overal bereikbaar te maken"

zaterdag 2 november 2019 19:38

Acties:

0 Henk 'm!

Tackleberry

cat_byte schreef op zaterdag 2 november 2019 @ 17:35:
Bij het verwijderen van malware remover en vervolgens handmatig installeren, werkt de interface ook weer. Hier te downloaden: https://www.qnap.com/en/a....4.1&type_choose=Security (wel even je QTS en Nas in het dropdown-menu aanvinken).

Vooral de software versie even aanpassen is aan te raden. Security Counselor werkt bijvoorbeeld niet bij mij, omdat ik een TS-210 heb met 4.2.6 OS...

Echter ook na deze handmatige actie lijkt de Malware Remover nog steeds niet te werken... Blijft op Loading staan.

zaterdag 2 november 2019 21:06

Acties:

0 Henk 'm!

cat_byte

Wat ik gedaan heb is het volgende (kan zijn dat het niet precies klopt, ben wel een uurtje zoet geweest met die onzin):
1. Via SSH

code:

1	curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh \| sh

Hierbij werd bij mij geen malware gedetecteerd. Dit installeert ook een oudere versie van malware remover. ( Vervolgens weer updaten via app center op de nas, werkte niet.)

2. Verwijderen malware remover + reboot

3. Handmatig installeren meest recente malware remover.. en toen werkte het bij mij weer.

Ik heb overigens ook mijn firmware (was al de meeste recente versie) opnieuw geïnstalleerd. Dit maakte geen zier uit. Malware remover bleef op " loading " staan. Notificaties gaven wel aan dat ie aan het scannen was.

[ Voor 10% gewijzigd door cat_byte op 02-11-2019 21:08 . Reden: toelichting erbij ]

dinsdag 5 november 2019 18:45

Acties:

+1 Henk 'm!

michelk31

Deze morgen was er weer een update voor de malware remover.

dinsdag 5 november 2019 20:00

Acties:

0 Henk 'm!

Tackleberry

cat_byte schreef op zaterdag 2 november 2019 @ 21:06:
Wat ik gedaan heb is het volgende (kan zijn dat het niet precies klopt, ben wel een uurtje zoet geweest met die onzin):
1. Via SSH
code:
1
curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh
Hierbij werd bij mij geen malware gedetecteerd. Dit installeert ook een oudere versie van malware remover. ( Vervolgens weer updaten via app center op de nas, werkte niet.)

2. Verwijderen malware remover + reboot

3. Handmatig installeren meest recente malware remover.. en toen werkte het bij mij weer.

Ik heb overigens ook mijn firmware (was al de meeste recente versie) opnieuw geïnstalleerd. Dit maakte geen zier uit. Malware remover bleef op " loading " staan. Notificaties gaven wel aan dat ie aan het scannen was.

Ook dit heeft bij mij helaas geen werkende app opgeleverd... Ook de versie van vandaag niet.

Gelukkig geeft de SSH variant geen issues aan.

woensdag 6 november 2019 10:51

Acties:

0 Henk 'm!

Sledge HaMMeR

-= Je Vini, Vidi, Vici =-

Bij mij installeert en update de app wel. Tijdens manueel scannen vindt hij heen malware. Maar tijdens de dagelijkse routine scan geeft hij wel steeds aan dat malware is gevonden en verwijderd. Vrij irritant, ben er vrij zeker van dat er geen malware op heeft gestaan.

.: There are 10 kinds of people in the world: those that understand binary, and those that do not :.

woensdag 6 november 2019 22:13

Acties:

0 Henk 'm!

Tackleberry

Sledge HaMMeR schreef op woensdag 6 november 2019 @ 10:51:
Bij mij installeert en update de app wel. Tijdens manueel scannen vindt hij heen malware. Maar tijdens de dagelijkse routine scan geeft hij wel steeds aan dat malware is gevonden en verwijderd. Vrij irritant, ben er vrij zeker van dat er geen malware op heeft gestaan.

Zal wel komen omdat ik een oud beestje (TS-210) heb...

vrijdag 8 november 2019 12:55

Acties:

0 Henk 'm!

Sledge HaMMeR

-= Je Vini, Vidi, Vici =-

Ik kan je even niet volgen @Tackleberry , ik had het over mijn eigen TS-559 Pro II (die overigens ook al jaren prima zijn werk doet)

.: There are 10 kinds of people in the world: those that understand binary, and those that do not :.

vrijdag 8 november 2019 21:02

Acties:

0 Henk 'm!

Tackleberry

Sledge HaMMeR schreef op vrijdag 8 november 2019 @ 12:55:
Ik kan je even niet volgen @Tackleberry , ik had het over mijn eigen TS-559 Pro II (die overigens ook al jaren prima zijn werk doet)

Ik probeer te beredeneren waarom bij mij de Malware Remover app nog steeds niet fatsoenlijk werkt. Dan denk ik dat het door de combinatie van TS-210 en de "oudst mogelijke ondersteunde versie" van het OS komt.

vrijdag 8 november 2019 22:49

Acties:

0 Henk 'm!

cat_byte

@Tackleberry die van mij is niet veel nieuwe (TS-221). Wat je nog zou kunnen proberen is de firmware er opnieuw op zetten. Het enige vervelende dat bij mij gebeurde, is dat ik een aantal webdav-machtigingen opnieuw heb moeten instellen. De rest bleef ongewijzigd.
Nu heb ik verder bijzonder weinig services aan staan, dus ik weet niet of dat voor jou ook het geval zal zijn.

Ik zou deze volgorde aanhouden: malware remover verwijderen en reboot.
Dan firmware handmatig installeren + reboot
Dan laatste versie malware remover handmatig installeren + reboot.

vrijdag 22 november 2019 09:46

Acties:

0 Henk 'm!

Sledge HaMMeR

-= Je Vini, Vidi, Vici =-

[Edit] Eerst even verder neuzen voor ik me onsterfelijk belachelijk maak alhier

[ Voor 95% gewijzigd door Sledge HaMMeR op 22-11-2019 10:00 . Reden: Voortschrijdend inzicht ]

.: There are 10 kinds of people in the world: those that understand binary, and those that do not :.

Onderwerpen