加密挖掘恶意软件继续对网络连接存储(NAS)的攻击
NAS是台湾储存制造商QNAP的产品。它类似于可以扩展到16保持比例的外部存储设备。
研究人员首先在Qihoo 360的网络安全研究实验室(360 NETLAB)上发现了恶意软件。
攻击发生在两个部分。攻击者获得了QNAP设备的控制并运行任意命令。
360 NetLab在2021年3月2日报告,关于通过QNAP NAS设备的攻击通过未经授权的远程命令执行漏洞,攻击者在设备上获得特权,类似于管理员权利并进行恶意采矿活动。
360 NetLab将此攻击者命名为UnityMiner,源自攻击者使用自定义程序将NAS的存储器资源用于掩护Crypto Mining的事实。
自去年1月以来,QNAP已经警告了其客户对比特币采矿的攻击。
攻击是通过利用已有修补的远程代码执行(RCE)的漏洞来进行的,并使攻击者能够闯入用户的设备并将其用于加密挖掘。
Unitymine是一种攻击,可能会感染固件上运行的所有QNAP NAS设备。
如果您看到这些代码,您将处于危险之中
代码“ unity_install.sh”用于下载,设置和启动采矿程序。这劫持了原始设备的“ manarequest.cgi”程序。程序“ unity_install.sh”还通过CPU核心数来设置采矿参数,以确保用户只能使用一半。
“ manarequest.cgi”劫持了系统的原始文件以篡改执行结果。这将使CPU使用量和温度都在正常处理下。
“ quick.tar.gz。”包含矿工程序,配置文件,启动脚本以及“ manarequest.cgi”的重新设计版本。
“ start.sh”是负责修改系统信息并将用户视图更改为'工作系统'的文件。
为了确保您的安全性,请务必检查NAS中是否安装了这些程序并将其销毁。
这次攻击的损害
360 FirmWarettal表示,2020年8月之前的所有QNAP NAS固件都处于脆弱性风险。
ATTER使用一个隐藏实际CPU内存资源的程序,因此,当QNAP扫描系统是否错误时,它不会检测到异常系统。
360 NetLab拒绝透露保护QNAP用户和数千种与系统连接的在线QNAP NAS设备的漏洞的技术细节。
QNAP建议用户更新其固件以禁用这些攻击。
一篇文章sergie galtan在BleepingComputer中提供特定的清单,以确保NAS用户的存储空间并检查恶意软件。
更改设备上所有帐户的所有密码
从设备中删除未知的用户帐户
确保设备固件是最新的,并且所有应用程序也已更新
从设备中删除未知或未使用的应用程序
通过应用程序中心功能安装QNAP Malwareremover应用程序
为设备设置访问控制列表(控制面板 - >安全性 - >安全级别)
尽管这些系统攻击深处,但QNAP确保采取措施保护其用户的隐私。
本文由技术时报拥有
由Czarina Grace Del Valle撰写
