¿Es tu NAS QNAP uno de los más de 62000 infectados con el malware Qsnatch?

Varias agencias de ciberseguridad (entre ellas las de EEUU y Reino Unido) publicaron hace horas un aviso de seguridad referente a una campaña masiva de infecciones dirigidas contra dispositivos NAS (Network Attached Storage) del proveedor QNAP.

Un NAS es un dispositivo conectado a varios puntos de tu red y por tanto debe seer bastionado como corresponde o se podría convertir en tu peor pesadilla. Ya en alguna ocasión anterior hemos hablado de vulnerabilidades en dispositivos QNAP, aunque lo mismo ocurre con marcas como Synology, Intel, WD, etcétera.

QSnatch, malware que ha infectado a miles de NAS de Qnap

Lo han bautizado como Derek o también como QSnatch, y este malware está destinado principalmente a robar credenciales e información de tus repositorios locales para enviarlos a un atacante.

Hasta el momento van más de 62000 desde el pasado mes de Octubre, cuando apareció por primera vez. Actualmente se ha expandido rápido por norteamérica y Europa occidental. Y como es costumbre, adivina:

Todos los dispositivos NAS QNAP son vulnerables potencialmente a QSnatch si no están actualizados con el útimo firmware.

[…] Una vez se da un ataque satifactorio, el atacante puede impedir al administrador legítimo ejecutar actualizaciones con éxito.

Alerta NSC-CISA

Es decir, que este malware se las ingenia de esta forma para volverse persistente, en cuyo caso requeriría de un hard-reset propiamente dicho.

Campañas y vector de ataque

El método para comprometer el sistema no está claro, sin embargo se cree que la primera campaña podría haber comenzado ya en 2014 (!) y continuar hasta mediados de 2017, antes de volverse más intensa hace meses.

Más de 7000 de estos dispositivos de almacenamiento en red fueron víctimas solamente en Alemania, según el CERT-Bund, hasta Octubre de 2019.

La infraestructura utilizada por los actores inicialmente ya no está activa, pero existe una segunda oleada de ataques, que implica inyectar el malware durante la fase de infección y después utilizar un DGA (Domain Generation Algorithm) para dar de alta un canal hacia su C2 o servidor de control remoto, de cara al intercambio de datos sensibles.

La versión más reciente de QSnatch trae consigo nuevas capacidades, incluyendo un password logger o registrador de contraseñas CGI, que utiliza una pantalla de inicio de sesión suplantada para capturar contraseñas, así como un credential scraper, una puerta trasera SSH para poder ejecutar código y una webshell que permitirá al atacante acceder de forma remota al equipo.

Persistencia

Además, el malware obtiene persistencia impidiendo que el dispositivo se actualice con éxito en aquellos aparatos infectados, algo que se logra redirigiendo nombres de dominio clave usados por el NAS hacia versiones locales obsoletas del firmware, de forma que nunca se instalen los nuevos parches.

Otras medidas que toma este malware son:

• Modificar los scripts de inicio (init.x) y cron jobs del sistema
• Impedir la ejecución de QNAP MalwareRemover
• Enviar todos los nombres de usuario y contraseñas al servidor

Eliminar el malware QSnatch

En caso de que tengamos sospechas de somos víctimas de este «bicho», tenemos dos formas de desinfectar el dispositivo. La primera es obvia y poco deseable, haciendo un full factory reset del mismo, perdiendo por el camino todos los datos.

Otra forma menos agresiva de intentarlo (en teoría) es aplicar una actualización del fabricante o intentar habilitar antes la aplicación MalwareRemover, cuyas firmas funcionaban al menos en Noviembre de 2019.

A tener en cuenta

Antes de concluir este artículo sobre QSnatch y sus peligros, me permito recomendaros que además reviséis si el NAS en cuestión fue adquirido desde un proveedor confiable, y sobre todo, tomar la precaución de bloquear las conexiones externas y solamente queremos usar el NSA para dentro de nuestra red.

Por supuesto, en caso de querer usar un NAS a través de la red internet pública, usad siempre que sea posible una VPN.

IOCs

Muestras de shell scripts reconocidos en sha256
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Muestras de shell scripts SHC y ELF reconocidos en sha256

18a4f2e7847a2c4e3c9a949cc610044bde319184ef1f4d23a8053e5087ab641b
3615f0019e9a64a78ccb57faa99380db0b36146ec62df768361bca2d9a5c27f2
845759bb54b992a6abcbca4af9662e94794b8d7c87063387b05034ce779f7d52
6e0f793025537edf285c5749b3fcd83a689db0f1c697abe70561399938380f89

Fuentes:

https://www.qnap.com/en/security-advisory/nas-201911-01