포스팅 내용

국내외 보안동향

QNAP, QSnatch에 대한 경고문 발행 후 악성코드 리무버 업데이트 권고

QNAP urges users to update Malware Remover after QSnatch joint alert


대만 기업인 QNAP이 사용자들에게 NAS 기기의 QSnatch 악성코드 감염을 막기 위해 악성코드 리무버 앱을 업데이트할 것을 권고했습니다.


이번 주, CISA와 NCSC는 QSnatch 데이터 탈취 악성코드를 배포하는 현재 진행 중인 대규모 캠페인과 관련된 공동 권고문을 발표했습니다.



이 악성코드는 대만 회사 QNAP에서 제조한 QNAP NAS 기기를 노리며, 이미 62,000대 이상의 기기를 감염시켰습니다.


QSnatch 악성코드는 아래와 같은 기능을 구현했습니다.


CGI 패스워드 로거

- 기기 관리자 로그인 페이지의 가짜 버전을 설치하고, 인증이 성공할 경우 이를 기록하여 정식 로그인 페이지로 전달합니다.

크리덴셜 스크레퍼(Credential Scraper)

SSH 백도어 

- 공격자가 기기에서 임의 코드를 실행할 수 있도록 허용합니다.

유출

- QSnatch는 실행 중일 때 시스템 구성 및 로그 파일을 포함한 선 정의된 파일 목록을 훔칩니다. 공격자의 퍼블릭 키를 이용하여 암호화되며 HTTPS를 통해 그들의 인프라로 전송됩니다.

원격 접속을 위한 Webshell 기능



<이미지 출처: https://securityaffairs.co/wordpress/106644/hacking/qnap-update-malware-remover-qsnatch.html>



QSnatch(Derek으로도 알려짐)는 데이터 탈취 악성코드로 지난 2019년 10월 핀란드의 NCSC-FI의 전문가들이 처음으로 세부 내용을 발표했습니다. 


전문가들은 당시 악성코드에 대한 경고를 발행한 후 즉시 조사에 착수했습니다. 당시 독일의 CERT-Bund 또한 독일에서만 7,000대 이상의 기기가 감염되었다고 밝혔습니다.


QNAP은 NAS 기기를 노린 캠페인의 효과를 축소시키려는 움직임을 보였습니다.


QNAP은 공지를 통해 아래와 같이 밝혔습니다.


“QNAP은 현재 악성코드 변종을 탐지하지 못했으며, 감염된 기기의 숫자로 미루어 볼 때 또 다른 사건이 발생하지 않았을 것으로 생각합니다.”


“특정 언론에서는 2019년 10월 이후로 감염된 기기가 7,000대에서 62,000대로 증가했다고 주장했지만, 이는 다른 기관의 보고서를 잘못 해석해 얻은 잘못된 결과입니다.”


QNAP은 QTS App Center 또는 웹사이트에서 제공하는 Malware Remover 앱의 최신 버전을 설치할 것을 권장했습니다.


“QTS App Center 또는 QNAP 웹사이트에서 최신 버전의 Malware Remover 앱을 수동으로 다운로드해 설치할 것을 권장합니다. 또한 QNAP NAS의 보안을 강화할 수 있는 추가적인 작업을 진행할 것을 권장합니다. 관련 작업은 보안 권고에도 자세히 설명되어 있습니다.”


QNAP이 권장하는 조치 중 일부는 아래와 같습니다.


1. QTS와 Malware Remover 업데이트

2. Security Counselor 설치 및 업데이트

3. 관리자 비밀번호를 강력한 것으로 변경하기

4. 브루트포싱 공격을 예방하기 위해 IP 및 계정 접근 보호 활성화

5. 필요하지 않을 경우 SSH와 Telnet 계정 비활성화

6. 디폴트 포트 (443, 8080 등) 사용 자제


연결 고리는 명확하지 않지만 공동 경고문에서는 일부 QSnatch 샘플이 감염된 QNAP 기기에서 Samba 원격 코드 실행 취약점인 CVE-2017-7494를 의도적으로 패치한다고 밝혔습니다.


현재 이전 QSnatch 캠페인의 배후에 있는 공격 인프라는 더 이상 활발히 활동하지 않지만 향후 발생 가능한 공격을 예방하기 위해서 NAS 기기를 업데이트할 것을 권장합니다.





출처:

https://securityaffairs.co/wordpress/106644/hacking/qnap-update-malware-remover-qsnatch.html

https://www.qnap.com/en/news/2020/response-to-qsnatch-attacks-no-malware-variants-found-and-affected-user-count-reducing

티스토리 방명록 작성
name password homepage