포스팅 내용

국내외 보안동향

QNAP NAS 기기들 수천 대, QSnatch 악성코드에 감염돼

Thousands of QNAP NAS devices have been infected with the QSnatch malware


대만 업체인 QNAP의 NAS(network-attached storage) 제품 수 천대가 새로운 악성코드 변종인 QSnatch에 감염된 것으로 나타났습니다.


독일의 CERT-Bund 측에서는 독일에서만 7,000건 이상의 감염이 제보되었다고 밝혔습니다. 이 공격은 현재 진행 중이기 때문에 전 세계에서 수천 건 이상의 감염이 추가로 발생했을 것으로 추측하고 있습니다.


QSnatch의 작동 방식에 대한 정보는 아직까지 부족합니다. 유일한 보고서는 지난주 이 악성코드를 처음으로 발견한 핀란드의 국립 사이버 보안 센터 (NCSC-FI)에서만 발간된 상태입니다.


이 악성코드를 분석해본 결과 아래 기능을 발견했습니다:


- OS 예약 작업 및 스크립트(cronjob, init scripts) 수정

- 소스 URL을 업데이트해 향후 펌웨어 업데이트 방지

- 기본 QNAP MalwareRemover 앱이 실행되지 않도록 방지

- 모든 NAS 사용자의 계정 명 및 패스워드를 추출 후 탈취


이를 통해 악성코드가 가진 기능을 알아낼 수 있었지만, 최종 목표는 알아낼 수 없었습니다. 


QSnatch의 개발 목적이 DDoS 공격을 실행하기 위함인지, 몰래 가상 화폐 마이닝을 실시하는 것인지, 아니면 중요한 파일을 훔치거나 악성 페이로드를 호스팅하기 위해 QNAP 장비에 백도어를 설치하기 위한 것인지는 아직까지 분명히 밝혀지지 않았습니다.


한 가지 이론은 QSnatch 운영자는 현재 봇넷을 구축하는 단계에 있으며, 향후 다른 모듈을 배포할 예정이라는 것입니다. NCSC-FI 분석가들은 QSnatch가 원격 C&C 서버에 연결하고, 다른 모듈을 다운로드 후 실행할 수 있는 기능이 있음을 확인했습니다.


감염에 대처하는 법


현재 QSnatch를 제거하는 것으로 확인된 유일한 방법은 NAS 기기를 전체 공장 초기화하는 것입니다.


일부 사용자들은 2019년 2월 QNAP NAS 펌웨어 업데이트를 설치할 경우 문제가 해결된다고 제보했지만, NCSC-FI와 제조사에서는 해당 조치방법이 QSnatch를 제거하거나 향후 재감염을 방지할 수 있다고 공식으로 공지하지 않은 상태입니다.


QNAP NAS를 사용하고 있을 경우 당분간 기기를 인터넷에서 분리할 것을 권장합니다.


NCSC-FI의 분석가들은 SQnatch의 감염 여파에 대처하기 위해 아래 방법을 제안했습니다:


- 해당 기기의 모든 계정의 패스워드 변경

- 기기에서 알 수 없는 사용자 제거하기

- 기기 펌웨어 및 모든 애플리케이션을 최신 버전으로 유지하기

- 기기에서 출처를 알 수 없거나 사용하지 않는 애플리케이션 모두 삭제하기

- 앱 센터 기능을 통해 QNAP MalwareRemover 애플리케이션 설치하기

- 기기용 제어 리스트 설정하기 (제어판 -> 보안 -> 보안 수준)


QSnatch는 Synology 기기에 영향을 미친 랜섬웨어 변종, QNAP 기기에 영향을 미친 랜섬웨어 변종인 eCh0raix와 Muhstik에 이어 올해 4번째로 발견된 NAS 기기를 노리는 악성코드 변종입니다.




출처 :

https://www.zdnet.com/article/thousands-of-qnap-nas-devices-have-been-infected-with-the-qsnatch-malware/

https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices



티스토리 방명록 작성
name password homepage