Computer-Software

QSnatch-Malware: Eine anhaltende Bedrohung für QNAP NAS-Geräte – So schützen Sie Ihre Daten

Posted on by Lena Hoffmann

Netzwerk-Speichergeräte (NAS) von QNAP sind seit Jahren Ziel einer hartnäckigen Malware namens QSnatch. Eine gemeinsame Warnung der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) und des britischen National Cyber Security Centre (NCSC) hebt die anhaltende Gefahr dieser hochentwickelten Bedrohung hervor, die darauf abzielt, sensible Daten zu stehlen und die Kontrolle über infizierte Systeme zu übernehmen. Diese Malware, die auf dem maßgeschneiderten Linux-Betriebssystem von QNAP läuft, stellt eine ernsthafte Herausforderung für Benutzer dar, die ihre Daten sicher speichern und verwalten möchten.

Was ist QSnatch und wie funktioniert es?

QSnatch ist eine besonders raffinierte Malware, die eine Reihe von Funktionen bietet, um QNAP NAS-Geräte umfassend zu kompromittieren. Ihr primäres Ziel ist der Datendiebstahl und die Etablierung einer dauerhaften Präsenz auf dem infizierten System. Die Malware ist in der Lage, Anmeldeinformationen abzufangen, Systemkonfigurationen auszulesen und eine Hintertür für den Fernzugriff zu schaffen.

Die gefährlichen Funktionen von QSnatch

Die Palette der von QSnatch ausgeführten böswilligen Aktionen ist breit gefächert und umfasst:

  • Diebstahl von Anmeldeinformationen: Mittels eines CGI-Passwort-Loggers werden Benutzernamen und Passwörter abgefangen, die dann von den Angreifern für weitere Zugriffe oder Verkäufe genutzt werden können. Dies stellt eine direkte Bedrohung für die Datensicherheit und die Privatsphäre der Nutzer dar.
  • Auslesen sensibler Daten: Die Malware ist darauf ausgelegt, eine Vielzahl von Daten vom Gerät zu exfiltrieren, darunter Systemkonfigurationen, Protokolldateien und potenziell auch persönliche Dateien der Benutzer.
  • SSH-Backdoor: QSnatch installiert eine SSH-Hintertür, die den Angreifern einen dauerhaften und verdeckten Fernzugriff auf das NAS-Gerät ermöglicht, selbst wenn normale Zugänge geändert werden.
  • Web-Shell-Funktionalität: Durch die Bereitstellung einer Web-Shell-Funktionalität können Angreifer Befehle über eine Web-Oberfläche ausführen, was eine flexible und mächtige Kontrolle über das infizierte System erlaubt.
Weiterlesen >>  Zotero mit Google Docs nutzen: Zitate und Bibliografien mühelos einfügen

Wie QSnatch Persistenz erlangt

Eine der heimtückischsten Eigenschaften von QSnatch ist seine Fähigkeit, auf dem System persistent zu bleiben. Nach der Installation verändert die Malware die Host-Datei des Geräts. Dadurch werden die für Updates verwendeten primären Domainnamen des NAS auf veraltete lokale Versionen umgeleitet. Dies verhindert, dass das Gerät kritische Firmware-Updates erhält, die die Malware entfernen oder ihre Schwachstellen schließen könnten. Diese Technik macht die Bereinigung der Infektion ohne drastische Maßnahmen extrem schwierig, da herkömmliche Updates keine Wirkung zeigen.

Der Angriffsvektor und die Verbreitung

Der genaue Infektionsvektor, über den QSnatch ursprünglich auf die QNAP NAS-Geräte gelangt, bleibt bis heute unklar. Die CISA- und NCSC-Berater gehen davon aus, dass der bösartige Code während der Infektionsphase direkt in die Geräte-Firmware injiziert wird. Sobald der Code ausgeführt wird, kompromittiert er das System von Grund auf.

Unklarer Infektionsweg und Command & Control

Nachdem die Malware installiert wurde, nutzt der Angreifer einen Domänengenerierungsalgorithmus (DGA), um einen Befehls- und Kontrollkanal (C2-Kanal) zu etablieren. Dieser Mechanismus generiert regelmäßig mehrere Domänennamen, über die die Malware mit den Angreifer-Servern kommuniziert, Befehle empfängt und gestohlene Daten übermittelt. Die dynamische Natur der C2-Kommunikation erschwert die Erkennung und Blockierung der Kommunikation erheblich.

Die weltweite Reichweite

Die QSnatch-Malware ist seit 2014 aktiv und hat eine bemerkenswerte Verbreitung erreicht. Bis Mitte Juli 2020 waren weltweit rund 62.000 QNAP-Geräte infiziert. Davon befanden sich etwa 7.600 in den Vereinigten Staaten und 3.900 im Vereinigten Königreich. Die fortwährende Aktivität der Malware unterstreicht die Notwendigkeit für QNAP-Nutzer, proaktive Sicherheitsmaßnahmen zu ergreifen.

Schutz und Bereinigung: Was tun bei einer Infektion?

Da QSnatch eine hohe Persistenz aufweist und Firmware-Updates blockieren kann, erfordert die Bereinigung einer Infektion entschlossene Maßnahmen. QNAP und die Cybersecurity-Behörden empfehlen spezifische Schritte, um die Malware zu entfernen und zukünftige Angriffe zu verhindern.

Weiterlesen >>  Optimale Zusammenarbeit und Effizienz: DATEV Unternehmen online revolutioniert Kanzlei und Mandant

Schritt für Schritt zur Bereinigung

Wenn Sie den Verdacht haben, dass Ihr QNAP NAS-Gerät infiziert ist, ist ein vollständiger Werksreset unerlässlich. Dies ist der einzige zuverlässige Weg, um die Malware vollständig von der Firmware zu entfernen. Gehen Sie dabei wie folgt vor:

  1. Vollständiger Werksreset: Führen Sie einen vollständigen Werksreset Ihres QNAP NAS-Geräts durch. Beachten Sie, dass dabei alle Daten auf dem Gerät gelöscht werden. Stellen Sie daher sicher, dass Sie zuvor ein aktuelles Backup Ihrer wichtigen Daten erstellt haben.
  2. Firmware-Update: Installieren Sie nach dem Werksreset sofort die neueste verfügbare Firmware-Version für Ihr Gerät. Dies schließt bekannte Sicherheitslücken, die möglicherweise von QSnatch ausgenutzt wurden.
  3. Malware Remover aktualisieren: Aktualisieren Sie das QNAP Malware Remover-Tool auf die neueste Version und führen Sie einen vollständigen Scan durch.
  4. Security Counselor aktualisieren: Stellen Sie sicher, dass Ihr Security Counselor auf dem neuesten Stand ist, um eine umfassende Sicherheitsanalyse zu gewährleisten.
  5. Passwörter ändern: Ändern Sie umgehend alle Anmeldeinformationen für Ihr NAS-Gerät und alle verknüpften Dienste. Verwenden Sie dabei starke, einzigartige Passwörter.
  6. Unbekannte Konten entfernen: Überprüfen Sie alle Benutzerkonten auf Ihrem NAS und entfernen Sie verdächtige oder Ihnen unbekannte Konten.
  7. Nicht benötigte Netzwerkfunktionen deaktivieren: Deaktivieren Sie alle Netzwerkfunktionen (z. B. SSH oder Telnet), die Sie nicht aktiv nutzen. Dies reduziert die Angriffsfläche Ihres Geräts.

Präventive Maßnahmen für Ihre QNAP NAS

Um eine zukünftigkeit Infektion zu vermeiden, ist es ratsam, proaktive Sicherheitsstrategien zu implementieren:

  • Regelmäßige Backups: Erstellen Sie regelmäßig Backups Ihrer Daten auf externen Speichern, die nicht permanent mit dem NAS verbunden sind.
  • Starke Passwörter und Zwei-Faktor-Authentifizierung (2FA): Verwenden Sie stets komplexe Passwörter und aktivieren Sie 2FA, wo immer möglich.
  • Regelmäßige Firmware-Updates: Halten Sie die Firmware Ihres QNAP NAS-Geräts immer auf dem neuesten Stand.
  • Netzwerksicherheit: Konfigurieren Sie Ihre Firewall und Ihr Netzwerk so, dass der Zugriff auf Ihr NAS nur von vertrauenswürdigen Quellen möglich ist. Vermeiden Sie es, Ihr NAS direkt dem Internet auszusetzen, wenn nicht unbedingt erforderlich. Nutzen Sie VPN-Verbindungen für den Fernzugriff.
  • Überwachung: Achten Sie auf ungewöhnliches Verhalten Ihres NAS-Geräts, wie z.B. unerklärliche Leistungsabfälle oder verdächtige Netzwerkaktivität.
Weiterlesen >>  Von AutoCAD zu DraftSight: Ein reibungsloser Übergang für Ihre CAD-Arbeit

Fazit

Die QSnatch-Malware bleibt eine ernste und anhaltende Bedrohung für QNAP NAS-Geräte. Ihre Fähigkeit zur Persistenz und Datenexfiltration unterstreicht die Notwendigkeit für Benutzer, ihre Systeme aktiv zu schützen. Durch die Befolgung der empfohlenen Bereinigungs- und Präventionsmaßnahmen können Sie das Risiko einer Infektion minimieren und die Sicherheit Ihrer wertvollen Daten gewährleisten. Bleiben Sie wachsam, halten Sie Ihre Systeme auf dem neuesten Stand und treffen Sie proaktive Entscheidungen für die Cybersicherheit, um Ihre digitale Infrastruktur zu schützen.

Referenz: