Malware QSnatch

    Ist auch schon fast widerlegt, wie gesagt, kann die Twitter Diskussion nicht lesen, aber es hat jemand auch sinngmäß so im US Forum geantwortet.

    Die Möglichkeit wäre da, die Wahrscheinlichkeit aber eher gering das dies der Einfallsvektor ist.

    Bei mir läuft auch auf allen NAS der ClamAV mit und keines ist infiziert.... jedenfalls soweit ich es überblicken kann 8).


    Gruss

    Ich kann irgendwie nicht glauben, dass man bisher so gar keinen Plan hat, wie die Malware aufs NAS kommt. Wobei die ClamAV Geschichte schon nicht soooo abwegig klingt (ich hab mir auch mal ein bisschen den Code angeschaut). Es wäre ja nicht das erste Mal, dass man Sicherheitssoftware genau deswegen ins Visier nimmt, weil sie 1.) typischerweise mit hohen Rechten läuft und 2.) tief ins System integriert ist. Das lehren zumindest die Macken von McAffee, Norton usw., die Windows mitnichten sicherer gemacht haben. Aber ob dieser Bytecode Check auf dem QNAP aktiv ist, der da ausgenutzt wird ist natürlich völlig unklar.


    Aber ich finde, die rumraterei nervt wirklich extrem, gerade bei einem so gravierenden Problem. Früher hat man immerhin mal mitgeteilt, dass bspw. die Photostation angreifbar war, wenn sie im Netz hing.

    Ich finde ja auch einen anderen Aspekt sehr spannend. Oft wird ja, wenn Qnap mit dem Hinweis hier stünden doch eh dutzende Dinge die nicht laufen kritisiert wird, darauf hingewiesen, dass sich halt nur die unzufriedenen User melden würden und jene, wo alles läuft eben nicht und das seien doch viel mehr die hier nicht schreiben.


    Ich bin nicht sicher, ob man diese These weiter aufrecht halten kann wenn die Aussage, dass in D 7.000 Qnap von der Malware betroffen sind, stimmt. Denn wir sind hier weit entfernt davon, dass hier 7.000 Leute einen Malwarebefall mit QSnatch melden würden oder betroffen sind. Es ist also so, dass viele offenbar gar nicht wissen, dass sie befallen sind. Und genau so wenig werden die Wissen, was alles sonst nicht funktioniert. Oder aber, das Forum ist einfach zu unbekannt und die 7.000 schreiben alle direkt an Qnap. Aber das kann ich nicht glauben.

    7'000 betroffene Geräte ist absolut gesehen eigentlich gar nichts. Bei kleineren und Kleinstgeräten (IoT) ist es oftmals so, dass es bis in die Million betroffen Geräte (weltweit) gehen kann, ohne dass dies von dessen Besitzern über länger Zeit bemerkt werden würde. Wenn kein Malware Remover (im Fall von QNAP NAS) installiert ist und die betroffenen User auch nie in irgendwelche Systemprotokolle sehen und solange das Gerät noch irgendwie funktioniert, werden diese User es nie bemerken. Erst wenn irgendetwas nicht mehr funktioniert oder ein Datei nicht mehr auffindbar ist. Will nicht wissen wie viele solcher NAS verschiedenster Hersteller "ungepflegt" vor sich hin dümpeln.

    Außerdem:


    Zitat von QNAP Statement vom 07.11.2019


    Furthermore, QNAP clarifies that it has never recommended a reinitialization to purge the malware from QNAP NAS.


    Gruss

    Zitat von PuraVida

    [...] dass sich halt nur die unzufriedenen User melden würden und jene, wo alles läuft eben nicht und das seien doch viel mehr die hier nicht schreiben.

    Ich bin nicht sicher, ob man diese These weiter aufrecht halten kann wenn die Aussage, dass in D 7.000 Qnap von der Malware betroffen sind, stimmt [...]

    Mit welcher Anzahl Geräte vergleichst Du die erwähnten 7.000 betroffenen Geräte denn?

    Ich vermute mal PuraVida das die meisten User die "unbedarft" ihr NAS per MyQnapCloud oder sonst per Forwarding ins Netz stellen, es gar nicht mitbekommen das es gehackt worden ist.

    Zitat von PuraVida

    [...] dass sich halt nur die unzufriedenen User melden würden und jene, wo alles läuft eben nicht und das seien doch viel mehr die hier nicht schreiben.

    Ich bin nicht sicher, ob man diese These weiter aufrecht halten kann wenn die Aussage, dass in D 7.000 Qnap von der Malware betroffen sind, stimmt. [...]

    Wenn Du für 7.000 Geräte keine Vergleichsgröße hast, wie kannst Du dann einschätzen, ob 7.000 Geräte nun viel oder wenig sind?


    Auf der Einschätzung, dass 7.000 Geräte eben nicht wenig sind, beruht ja Deine Annahme. Zumindest verstehe ich sie so!?

    Zitat von Timpov

    Auf der Einschätzung, dass 7.000 Geräte eben nicht wenig sind, beruht ja Deine Annahme. Zumindest verstehe ich sie so!?

    Es geht nicht darum ob 7.000 Geräte viel oder wenig ist in meinem Beitrag. Es geht auch nicht um die Geräte. Es geht darum wie viele Betroffene von den 7.000 Geräten hier schreiben. Und das sieht ja jeder.

    Gilt nicht nur für QSnatch:

    Falls es jemand interessiert wie die kryptischen Jobs in der autorun.sh oder crontab wirklich aussehen:

    Hier ist eine gute Erklärung.

    Dann viel Spass beim analysieren 8o.


    Gruss

    Ich bin leider auch betroffen und möchte meine Qnap NAS TS-251+ komplett neu aufsetzen. Ich habe zwar schon im Forum einiges gelesen aber keine endgültige Lösung gefunden.


    1. Beide Festplatten ausbauen und am PC formatieren

    2. 10 Sekunden-Reset am NAS Gehäuse


    Wäre mein Vorgehen so in Ordnung oder muss ich noch weitere Schritte unternehmen? Ist es möglich, Einstellungen zu speichern und diese später wieder einzuspielen oder sollte ich lieber alles neu eingeben?


    Vielen Dank vorab.

    Wenn Du alles neu aufsetzt sollte das reichen, ich würde hinterher aber sofort erneut scannen, bevor Du wieder Daten zurücksicherst.

    Ich würde mir ebenfalls alle Einstellungen (auch von Apps) dokimentieren und wieder manuell eintragen.

    Das darüber wieder etwas kommt ist eher unwahrscheinlich, aber es ist die Gelegenheit zu überlegen, was man wirklich noch benötigt ;).

    Ganz wichtig ist, das Du das NAS zum Internet vernünftig abschottest, dafür sind hier aber genug Beiträge.

    Sonst hast Du den Qsnatch wieder schneller als Dir lieb ist.


    Gruss

    Und wenn die Festplatten raus sind, via qfinder einfach mal ein software update einspielen, 10 Sekunden Reset am Knopf macht keinen kompletten System Reset

    Zitat von qt16

    1. Beide Festplatten ausbauen und am PC formatieren

    2. 10 Sekunden-Reset am NAS Gehäuse

    Auf jeden Fall noch curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh auf der Console ausführen.

    Hallo Zusammen,


    Obwohl meine NAS ausschließlich über den Router VPN zu erreichen ist, hat es mich möglicher Weise auch erwischt.


    Ich habe eine SS-439 mit der 4.2.6 (20181227) Firmware und mit aktiven MalewareRemover bis heute am laufen gehabt.

    Heute die Firmware auf 4.2.6 (20191107) und MalewareRemover aktualisiert.


    Schaut euch mal die Logs von meinem UniFi Router und die Logs vom QNAP an.

    4E622985-28C7-4A8F-8BE1-BE26142A88DB.png


    F048296E-E54D-46E4-9B83-9EB1DDEF9BF4.png


    Grüße