加密挖掘惡意軟件繼續對網絡連接存儲(NAS)的攻擊
NAS是台灣儲存製造商QNAP的產品。它類似於可以擴展到16保持比例的外部存儲設備。
研究人員首先在Qihoo 360的網絡安全研究實驗室(360 NETLAB)上發現了惡意軟件。
攻擊發生在兩個部分。攻擊者獲得了QNAP設備的控制並運行任意命令。
360 NetLab在2021年3月2日報告,關於通過QNAP NAS設備的攻擊通過未經授權的遠程命令執行漏洞,攻擊者在設備上獲得特權,類似於管理員權利並進行惡意採礦活動。
360 NetLab將此攻擊者命名為UnityMiner,源自攻擊者使用自定義程序將NAS的存儲器資源用於掩護Crypto Mining的事實。
自去年1月以來,QNAP已經警告了其客戶對比特幣採礦的攻擊。
攻擊是通過利用已有修補的遠程代碼執行(RCE)的漏洞來進行的,並使攻擊者能夠闖入用戶的設備並將其用於加密挖掘。
Unitymine是一種攻擊,可能會感染固件上運行的所有QNAP NAS設備。
如果您看到這些代碼,您將處於危險之中
代碼“ unity_install.sh”用於下載,設置和啟動採礦程序。這劫持了原始設備的“ manarequest.cgi”程序。程序“ unity_install.sh”還通過CPU核心數來設置採礦參數,以確保用戶只能使用一半。
“ manarequest.cgi”劫持了系統的原始文件以篡改執行結果。這將使CPU使用量和溫度都在正常處理下。
“ quick.tar.gz。”包含礦工程序,配置文件,啟動腳本以及“ manarequest.cgi”的重新設計版本。
“ start.sh”是負責修改系統信息並將用戶視圖更改為'工作系統'的文件。
為了確保您的安全性,請務必檢查NAS中是否安裝了這些程序並將其銷毀。
這次攻擊的損害
360 FirmWarettal表示,2020年8月之前的所有QNAP NAS固件都處於脆弱性風險。
ATTER使用一個隱藏實際CPU內存資源的程序,因此,當QNAP掃描系統是否錯誤時,它不會檢測到異常系統。
360 NetLab拒絕透露保護QNAP用戶和數千種與系統連接的在線QNAP NAS設備的漏洞的技術細節。
QNAP建議用戶更新其固件以禁用這些攻擊。
一篇文章sergie galtan在BleepingComputer中提供特定的清單,以確保NAS用戶的存儲空間並檢查惡意軟件。
更改設備上所有帳戶的所有密碼
從設備中刪除未知的用戶帳戶
確保設備固件是最新的,並且所有應用程序也已更新
從設備中刪除未知或未使用的應用程序
通過應用程序中心功能安裝QNAP Malwareremover應用程序
為設備設置訪問控制列表(控制面板 - >安全性 - >安全級別)
儘管這些系統攻擊深處,但QNAP確保採取措施保護其用戶的隱私。
本文由技術時報擁有
由Czarina Grace Del Valle撰寫
