Malware-Fund nach Update auf "Malware Remover 3.3.0"

    Zitat von nick2500

    Hallo,

    Mein NAS ist/war auch infiziert.

    Hallo nick2500,


    Gratulation für die tolle Recherche und vielen Dank für deine Mühe, sie hier aufzulisten.


    Ich selbst bin sehr interessiert an „Insides“ unserer NAS-en, habe aber nicht das Unix-Wissen, um alle deine Schritte nachvollziehen zu können.

    Ich glaube auch, dass es einigen hier im Forum ähnlich geht wie mir. Und bevor hier zahllose Fragen und stückweise Erklärungen im Thread auftauchen, würde ich mir eine Kurzanleitung deiner Schritte wünschen, vielleicht als eigenes Dokument, als wiki oder auch nur als neuen Post.


    Vielleicht von dir, vielleicht aber gibt es Gurus, die folgende Punkte aufdröseln und beschreiben können:

    • Wie prüft man am NAS offene Ports?
    • Welche Ports sind default offen - erwünscht, bei welchen sollte man Bedenken haben?
    • Was ist Netstat, wie wendet man es an (PID)?
    • Dateisuche nach Datum übers gesamte NAS?
    • Rückschlüsse von gefundenen Dateien auf einen Port bzw. auf die Art „ssh“?
    • Wie kommt man zur crontab? Welche Einträge sind üblich, welche bedenklich?


    Ich weiß, viele Fragen, die Insidern nur ein Lächeln abringen, die einige hier im Forum aber nicht so flüssig ins Terminal/Putty tippen werden.


    Lg Karl

    Ich möchte hier noch ein kurzes Update durchgeben:


    Aktionen:


    - Letztes Wochenende habe ich damit verbracht die NAS wieder herzustellen. Gemäß den Empfehlungen bin ich den Weg eines kompletten Reflash gegangen. Geholfen hat mit dabei der Eintrag von dhuuk42! (Rekonstruktion Fabrikzustand nach Löschung der DOM Partition)

    - Dann wurden alle Dateien von meinem PC wieder zurückgespielt. Diese hatte ich vorher noch mit der desinfect CD geprüft. Durch dieses Vorgehen wollte ich sicherstellen, dass die Dateien nochmals von den Scannern geprüft werden.


    Status:


    Seitdem läuft meine NAS wieder. Allerdings ist sie nicht mehr aus dem Netz erreichbar.


    Support:


    Der Support hat mir noch Anfang der Woche angeboten, sich auf mein System aufzuschalten und zu prüfen, ob die Infektion bereinigt wurde. Das hat sich für mich erledigt. Eventuell ist das aber sinnvoll für andere Betroffene.


    Lessons Learned:

    - Das Reflash der NAS.

    - Datenstruktur bereinigt und Backup umgestellt (Zu viele verteilte Sicherungen).

    - Gelernt, dass man Apps auch automatisch installieren kann.

    - Die NAS ist nicht mehr aus dem Netz erreichbar.

    - Cloudlink ist deaktiviert.

    Zitat von nick2500

    Ich glaube von dieser Lücke konnten viele Benutzer betroffen sein und qnap sollte hier mehr informieren da man ohne irgendwelche Zugriffsrechte also nur music station installiert zb weil HappyGet2 sie erfordert und web interface per Internet erreichbar ist reicht aus um angreifbar zu sein.


    Ja, das finde ich auch. Die hatten eine riesen Lücke und Infos sind eigentlich kaum vorhanden. Ich bin auch nicht sicher, ob das Verhalten von Qnap nicht gegen die DSGVO verstößt. Mal schauen was die Datenschutzbehörde dazu meint.

    Was mich mich mehr interessiert ist ob das DOM wirklich betroffen ist.

    Erstellt Qnap dazu ein Tool ? Kommt dazu ein Statement von Qnap oder wird wieder alles totgeschwiegen ?

    Naja, mit dem Bekanntgeben von Sicherheitslücken ist es so eine Sache. Ich erinnere gerne an den Jahreswechsel als Informationen über Meltdown und Spectre zu früh bekannt gegeben wurden, bevor die Patches veröffentlich waren. Ziemliches sinnloses Chaos ist entstanden, wobei wohl mehr Zeit beim Schuld zuweisen verwendet wurde als das Problem zu lösen.

    Und hinterher will es ja bekanntlich niemand gewesen sein, sprich beim Eingestehen von Fehlern ruft niemand als erster "hier". Da das Eingestehen von solchen Fehlern immer auch ein wenig mit Imageverlust einher geht macht diese um so schwerer. Natürlich ist eine richtige Informationspolitik das einzig Richtige. Aber wie die dann auszusehen hat, da werden sich wohl die Geister wieder streiten. Während man als versierter Nutzer möglichst alles wissen will, kann der normale User meistens gar nichts damit anfangen, bzw. viele interessiert so etwas erst gar nicht, nach dem Schema: "Der Hersteller wird schon...". Und der Hersteller will möglichst sein Gesicht wahren, also alles hab so wild und alles im Griff.

    Zitat von Mavalok2

    Naja, mit dem Bekanntgeben von Sicherheitslücken ist es so eine Sache.


    Darum gehts mir gar nicht. Ich möchte nur wissen ob noch eine Ausage wg. dem DOM kommt oder nicht.


    Zitat von Mavalok2

    Ich erinnere gerne an den Jahreswechsel als Informationen über Meltdown und Spectre zu früh bekannt gegeben wurden, bevor die Patches veröffentlich waren.


    Sind die denn schon veröffentlicht von Qnap ? Habe da nichts mitbekommen.

    Hallo,


    Um auf eure Fragen zu antworten von der qnapcloud habe ich nur die dyndns Funktion benutzt. Alle anderen qnap cloud Funktionen waren ausgeschalten.


    Dass die meisten qnap NAS unter einer Adresse *.mqnapcloud.com erreichbar sind macht es für einen Angreifer natürlich einfacher er muss nur alle Adressen unter *.mqnapcloud.com enumerieren und findet somit nur qnap Geräte.


    Ich habe mich noch nicht beim support gemeldet werde dies aber noch tun da ich erst vor 2 Tagen rausfand, dass mein nas überhaupt infiziert ist und bei meinen Recherchen eben auch hier auf den Forum Eintrag staas.


    Nur beim testen von UPNP (fuer einen online test mit einer console müsste ich UPNP anschalten) habe ich rausgefunden das mein NAS komische Ports öffnete. Daraufhin habe ich die oben geschilderten Beobachtungen gemacht und auch den Malware Remover installiert.


    System hat sich ansonsten normal verhalten (keine übermäßige Übertragungen oder cpu last etc..) (ich nehme mal an da glücklicherweise UPNP auf meinem router ausgeschaltet war der c&c server nicht mit meinem NAS kommunizierte)


    Jagnix in wie weit die DOM betroffen ist kann ich nicht sagen aber die Malware hat zb den config ramblock gemountet um die autorun.sh zu verändern: https://wiki.qnap.com/wiki/Run…wn_Application_at_Startup


    Das Problem ist, dass die Lücke schon ausgenutzt worden ist bevor sie geschlossen wurde. Auch schienen mehrere andere user gemerkt zu haben, dass ihr System infiziert worden ist und qnap sich schon Zeit mit dem Malware Remover gelassen hat (da anscheinend mehr Arbeitsaufwand gab da die Maleware viele Dateien infizierte unter anderem eben auch die autrun.sh im config block etc…)


    Mann hätte aber vorher schon Details veröffentlichen und user drauf hinweisen können. Auch wenn der Malware Remover noch nicht fertig war. Betroffene haetten dann vorzeitig eine Infizierung bemerkt und das NAS vom Internet trennen können. Wenigstens der Malware Remove sollte von nun an von qnap vorinstalliert werden (auch wenn er nicht schützt wenigstens konnte er die malware wenn auch 2 Monate später und nur teilweise beseitigen)


    Auch jetzt ist das security advisory zu dem Music Station bug nur sehr spärlich dokumentiert und zur malware selbst findet man fast gar keine Informationen. (was war das ziel der malware, daten zu stehlen?, den NAS in ein bot-netzwerk zu integrieren? etc..


    Santamaria13

    Ich glaube es gibt schon viele turtorial zu diesem thema das meiste sind standard *nix befehle netstat,ps,find etc..

    Fragen kann ich dir aber gerne per pm beantworten da ich sonst den schon langen post hier sprengen werde.


    Hier eine config file der malware die sehr an die eines sshdeamons erinnert 😉


    Code
    Port 51163
StrictModes no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePrivilegeSeparation no
HostKey "/etc/config/rVbgWSdjicMgxwo"
AuthorizedKeysFile "/etc/config/DjjDxt"


    Die AuthorizedKeysFile enthielt auch einen ssh public key


    Da nach dem Malware Remove noch viele Überbleibsel auf dem System sind und ich mir nicht sicher sein kann dass ein factory restore alles löscht werde ich eine firmware recovery machen.


    Lektion gelernt 😊


    Toll auch von Mavalok2 einen Artikel über Malware und Sicherheitslücken zu schreiben somit andere Betroffen villeicht eher ihre Infektion bemerken oder besser gar nicht erst in den falls kommen.


    Mfg,

    Nick

    Zitat von Jagi

    Darum gehts mir gar nicht. Ich möchte nur wissen ob noch eine Ausage wg. dem DOM kommt oder nicht.

    War jetzt nicht direkt an Dich gerichtet. Es wurde in diesem Thread schon mehrfach die eher spärliche Informationspolitik von Seiten QNAP erwähnt. Dies war ein Versuch zu ergründen - sozusagen laut gedacht - wieso dies so sein könnte. ;)


    Zitat von nick2500

    Toll auch von Mavalok2 einen Artikel über Malware und Sicherheitslücken zu schreiben somit andere Betroffen villeicht eher ihre Infektion bemerken oder besser gar nicht erst in den falls kommen.

    Danke. Mal sehen ob es auch hilft. Bin mal so frech und verlinke den hierher: :)

    Sicherheit – Malware und Sicherheitslücken auf dem NAS

    Vielleicht hilft dieser Artikel auch dem Einen oder Anderen weiter:

    Sicherheit - Security Tools für die QNAP

    Na super, auch bei mir wurde was gefunden.

    - Ist bestätigt, dass ein normaler Factory Reset nicht ausreicht? Wo ist diese Firmware Recovery genauer beschrieben?

    - Weiß man schon, was diese Malware für einen Schaden anrichten kann/wird/konnte?

    - Welche Sofortmaßnahmen sollte man durchführen? PW ändern? MyQnapCloud aus?

    Danke!

    Habe jetzt

    - den Malware Cleaner ausgeführt

    - Virenscan des NAS gemacht

    - PWs geändert

    - Online Anbindung Cloud Link deaktiviert


    Ist Firmware Recovery wirklich nötig?

    Mußt Du letztendlich selbst wissen.

    Du hast mit dem aktuellen System eine potentielle Schwachstelle im Heimnetzwerk.

    Wenn Du z.B. Onlinebanking machst oder viel in Onlineshops unterwegs bist, mußt Du Dich ohne eine gründliche Säuberung nicht wundern, wenn irgendwann mal Dein Konto leer ist oder paypal Dir eine horrende Rechnung präsentiert.

    Erst heute hat mir ein Arbeitskollege von einem Erpressungsversuchs, ausgelöst über einen Einbruch bei ebay bei ihm, berichtet.


    Ist zwar eine andere Größenordnung, aber es hatte schon seinen Grund, warum letztes Jahr das komplette Bundstagsnetzwerk nach dem Hack neu aufgesetzt wurde.

    Also, ich kann ja nur aus meiner Sicht sprechen. Vielleicht hat jemand da andere Erfahrungen gemacht.

    Aber weder Asus, noch Dell, Sony, Fujitsu, HP, Lenovo, Samsung..... haben Informationen dazu herausgegeben, ob man das BIOS reflashen muss, wenn man sich was auf deren PC's eingefangen hat.

    Und nicht einmal ein Anbieter von Antiviren/-malware Software wird etwas dazu sagen können, was speziell zu unternehmen ist, wenn man gehacked wurde.

    Wie auch?! Eine funktionstüchtige Kristallkugel, die sagen kann, was der Hacker gemacht hat, gibt es leider noch nicht.


    Warum werden eigentlich immer wieder Dinge von QNAP verlangt, die kein namhafter Hersteller je leisten wird.

    Es handelt sich ja nichtmal um einen speziellen Virus, den man über eine bestimmte Signatur erkennen kann und den ein Virenscanner finden würde.


    Dennoch gibt es eine allgemeingültige Regel in solchen Fällen - Traue keinem involvierten beschreibbaren Datenträger und dessen Daten mehr. Alles darauf kann verändert werden. Und dazu gehört nunmal auch der Flash.

    Wenn ein Hacker einmal Root Rechte auf das System erhalten hat, ist alles möglich.


    Jagnix

    Ich könnte dir in wenigen Codezeilen ein Programm schreiben, was sämtliche EEPROM's, Flash's und PIC's im NAS manipulieren kann. Die entsprechenden Tools dazu sind fast alle im System schon vorhanden.

    OK, was ich noch nicht verstanden habe: Sollte ich dazu dann auch meine HDDs im NAS löschen und NUR das Firmware Recovery machen? Geht das?


    Wäre ein Riesen-Act, das komplette NAS neu aufzusetzen, also auch alle Platten zu löschen...

    Ich denke der Doc hat gut erklärt was zu tun ist

    Wenn ich also ein Firmware Recovery mache , dann würden ich hier als erstes die Festplatten platt machen (backup hat ja eigentlich jeder ;) )


    Wobei ich mir dann auch Sorgen über die Daten im Backup machen würde.

    Das sehe ich anders dr_mike. Qnap hat das NAS designt, die Firmware dafür geschrieben und das BIOS dafür angepasst. Hat die App programmiert die die Sicherheitslücke erst verursacht hat. Und jetzt können die allen Ernstes keine Aussage darüber treffen ob man ein Firmwarerecovery machen muss ?