Malware QSnatch

  • Hm Wenn es wirklich daran liegen sollte ... würde es diese Malware auch für andere NASen geben. Gibt es aber anscheinend nicht.

  • Ist auch schon fast widerlegt, wie gesagt, kann die Twitter Diskussion nicht lesen, aber es hat jemand auch sinngmäß so im US Forum geantwortet.

    Die Möglichkeit wäre da, die Wahrscheinlichkeit aber eher gering das dies der Einfallsvektor ist.

    Bei mir läuft auch auf allen NAS der ClamAV mit und keines ist infiziert.... jedenfalls soweit ich es überblicken kann 8).


    Gruss

  • Ich kann irgendwie nicht glauben, dass man bisher so gar keinen Plan hat, wie die Malware aufs NAS kommt. Wobei die ClamAV Geschichte schon nicht soooo abwegig klingt (ich hab mir auch mal ein bisschen den Code angeschaut). Es wäre ja nicht das erste Mal, dass man Sicherheitssoftware genau deswegen ins Visier nimmt, weil sie 1.) typischerweise mit hohen Rechten läuft und 2.) tief ins System integriert ist. Das lehren zumindest die Macken von McAffee, Norton usw., die Windows mitnichten sicherer gemacht haben. Aber ob dieser Bytecode Check auf dem QNAP aktiv ist, der da ausgenutzt wird ist natürlich völlig unklar.


    Aber ich finde, die rumraterei nervt wirklich extrem, gerade bei einem so gravierenden Problem. Früher hat man immerhin mal mitgeteilt, dass bspw. die Photostation angreifbar war, wenn sie im Netz hing.

  • Ich finde ja auch einen anderen Aspekt sehr spannend. Oft wird ja, wenn Qnap mit dem Hinweis hier stünden doch eh dutzende Dinge die nicht laufen kritisiert wird, darauf hingewiesen, dass sich halt nur die unzufriedenen User melden würden und jene, wo alles läuft eben nicht und das seien doch viel mehr die hier nicht schreiben.


    Ich bin nicht sicher, ob man diese These weiter aufrecht halten kann wenn die Aussage, dass in D 7.000 Qnap von der Malware betroffen sind, stimmt. Denn wir sind hier weit entfernt davon, dass hier 7.000 Leute einen Malwarebefall mit QSnatch melden würden oder betroffen sind. Es ist also so, dass viele offenbar gar nicht wissen, dass sie befallen sind. Und genau so wenig werden die Wissen, was alles sonst nicht funktioniert. Oder aber, das Forum ist einfach zu unbekannt und die 7.000 schreiben alle direkt an Qnap. Aber das kann ich nicht glauben.

  • 7'000 betroffene Geräte ist absolut gesehen eigentlich gar nichts. Bei kleineren und Kleinstgeräten (IoT) ist es oftmals so, dass es bis in die Million betroffen Geräte (weltweit) gehen kann, ohne dass dies von dessen Besitzern über länger Zeit bemerkt werden würde. Wenn kein Malware Remover (im Fall von QNAP NAS) installiert ist und die betroffenen User auch nie in irgendwelche Systemprotokolle sehen und solange das Gerät noch irgendwie funktioniert, werden diese User es nie bemerken. Erst wenn irgendetwas nicht mehr funktioniert oder ein Datei nicht mehr auffindbar ist. Will nicht wissen wie viele solcher NAS verschiedenster Hersteller "ungepflegt" vor sich hin dümpeln.

  • Außerdem:


    Zitat von QNAP Statement vom 07.11.2019


    Furthermore, QNAP clarifies that it has never recommended a reinitialization to purge the malware from QNAP NAS.


    Gruss

  • [...] dass sich halt nur die unzufriedenen User melden würden und jene, wo alles läuft eben nicht und das seien doch viel mehr die hier nicht schreiben.

    Ich bin nicht sicher, ob man diese These weiter aufrecht halten kann wenn die Aussage, dass in D 7.000 Qnap von der Malware betroffen sind, stimmt [...]

    Mit welcher Anzahl Geräte vergleichst Du die erwähnten 7.000 betroffenen Geräte denn?

  • Ich vermute mal PuraVida das die meisten User die "unbedarft" ihr NAS per MyQnapCloud oder sonst per Forwarding ins Netz stellen, es gar nicht mitbekommen das es gehackt worden ist.

  • Mit welcher Anzahl Geräte vergleichst Du die erwähnten 7.000 betroffenen Geräte denn?

    Mit gar keiner Anzahl an Geräten vergleiche ich das, das war ja nicht mein Thema.

  • [...] dass sich halt nur die unzufriedenen User melden würden und jene, wo alles läuft eben nicht und das seien doch viel mehr die hier nicht schreiben.

    Ich bin nicht sicher, ob man diese These weiter aufrecht halten kann wenn die Aussage, dass in D 7.000 Qnap von der Malware betroffen sind, stimmt. [...]

    Wenn Du für 7.000 Geräte keine Vergleichsgröße hast, wie kannst Du dann einschätzen, ob 7.000 Geräte nun viel oder wenig sind?


    Auf der Einschätzung, dass 7.000 Geräte eben nicht wenig sind, beruht ja Deine Annahme. Zumindest verstehe ich sie so!?

  • Auf der Einschätzung, dass 7.000 Geräte eben nicht wenig sind, beruht ja Deine Annahme. Zumindest verstehe ich sie so!?

    Es geht nicht darum ob 7.000 Geräte viel oder wenig ist in meinem Beitrag. Es geht auch nicht um die Geräte. Es geht darum wie viele Betroffene von den 7.000 Geräten hier schreiben. Und das sieht ja jeder.

  • Gilt nicht nur für QSnatch:

    Falls es jemand interessiert wie die kryptischen Jobs in der autorun.sh oder crontab wirklich aussehen:

    Hier ist eine gute Erklärung.

    Dann viel Spass beim analysieren 8o.


    Gruss