Qsnatch मालवेयर से कैसे छुटकारा पाएं

QNAP द्वारा डिज़ाइन किए गए नेटवर्क अटैच्ड स्टोरेज या NAS डिवाइस QSnatch नामक मैलवेयर के लिए असुरक्षित पाए गए हैं। यह चेतावनी यूनाइटेड स्टेट्स साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) और यूके के नेशनल साइबर सिक्योरिटी सेंटर (NCSC) द्वारा जारी एडवाइजरी के अनुसार है।

QNAP NAS उपकरण बनाता है जो विभिन्न उपकरणों, जैसे कंप्यूटर और फोन, साथ ही कई अन्य कार्यक्रमों के लिए स्थानीय क्लाउड बैकअप के रूप में उपयोग किया जाता है। यह एक कस्टम-निर्मित लिनक्स ऑपरेटिंग सिस्टम को नियोजित करता है, जो QSnatch मैलवेयर को और अधिक प्रभावशाली बनाता है। यह अभी भी स्पष्ट नहीं है कि मैलवेयर कैसे वितरित किया जाता है, हमलावर कौन हैं और उनके उद्देश्य क्या हैं।

Qsnatch मालवेयर क्या है?

QSnatch 2020 में खोजा गया चौथा मैलवेयर स्ट्रेन है जिसने NAS उपकरणों को लक्षित किया है। यह घटना रैंसमवेयर स्ट्रेन की खोज के बाद हुई जिसने Synology उपकरणों को प्रभावित किया, साथ ही eCh0raix और Muhstik रैंसमवेयर जो QNAP उपकरणों को संक्रमित करते थे।

इस बार, हैकर्स ने QSnatch नामक एक नए मैलवेयर से ताइवानी निर्माता, QNAP के हज़ारों नेटवर्क-संलग्न संग्रहण उपकरणों को संक्रमित कर दिया है।

QSnatch मैलवेयर के विभिन्न संस्करण अब कई वर्षों से, 2014 और 2017 की शुरुआत में देखे गए हैं। सुरक्षा एजेंसियों ने इस संक्रमण को फैलाने के लिए डिज़ाइन किए गए दो विशिष्ट अभियानों की पहचान की है, आखिरी एक नवंबर 2019 तक का है।

दिलचस्प बात यह है कि सुरक्षा विशेषज्ञ अभी भी नहीं जानते हैं कि QSnatch कैसे फैलता है, लेकिन ऐसा लगता है कि संक्रमण के चरण में डिवाइस फर्मवेयर में इंजेक्ट किया गया है, संक्रमण के बाद डिवाइस के भीतर दुर्भावनापूर्ण कोड चल रहा है, इसलिए इससे समझौता किया जा सकता है। यह बहुत संभव है कि हमलावरों ने फ़र्मवेयर में पाई जाने वाली दूरस्थ रूप से शोषण योग्य भेद्यता का शोषण किया हो, जिससे फ़र्मवेयर में दुर्भावनापूर्ण कोड डाला जा सके।

QSnatch आपके लॉगिन क्रेडेंशियल और सिस्टम कॉन्फ़िगरेशन सहित संक्रमित डिवाइस से गोपनीय जानकारी एकत्र करने में सक्षम है। इन डेटा उल्लंघन की चिंताओं के कारण, संक्रमित QNAP डिवाइस जिन्हें "साफ़" किया गया है, मैलवेयर को हटाने के बाद भी फिर से संक्रमण का खतरा हो सकता है।

जर्मन कंप्यूटर इमरजेंसी रिस्पांस टीम (CERT-Bund) के अनुसार, जर्मनी में 7,000 से अधिक QSnatch संक्रमण की सूचना मिली है। जून में, दुनिया भर में संक्रमित उपकरणों की संख्या 62,000 तक पहुंच गई, जिसमें अमेरिका में लगभग 7,600 और यूके में 3,900 थे।

QSnatch कैसे काम करता है

QSnatch एक अत्यंत परिष्कृत मैलवेयर है जिसे CGI पासवर्ड लकड़हारे का उपयोग करके क्रेडेंशियल चुराने, SSH बैकडोर के साथ हैकर्स प्रदान करने, डेटा निर्यात करने (सिस्टम कॉन्फ़िगरेशन और लॉग फ़ाइलों सहित) और रिमोट एक्सेस के लिए वेब शेल कार्यक्षमता प्रदान करने के लिए बनाया गया है।

एक बार मैलवेयर NAS ड्राइव पर स्थापित हो जाने के बाद, यह होस्ट फ़ाइल को संशोधित करके और NAS ड्राइव द्वारा उपयोग किए जाने वाले मूल डोमेन नामों को पुराने स्थानीय संस्करणों में पुनर्निर्देशित करके, अद्यतनों को पुनर्प्राप्त होने से रोकने के द्वारा लगातार बना रहता है।

सुरक्षा अलर्ट के अनुसार, QSnatch का नया संस्करण सुविधाओं के एक बेहतर और व्यापक सेट के साथ आता है जिसमें मॉड्यूल के लिए कार्यक्षमता शामिल है, जैसे:

• डिवाइस व्यवस्थापक लॉगिन पृष्ठ का नकली संस्करण स्थापित करने, वैध प्रमाणीकरण लॉग करने और उन्हें वैध लॉगिन पृष्ठ पर अग्रेषित करने के लिए सीजीआई पासवर्ड लॉगर।
• एक क्रेडेंशियल स्क्रैपर
• SSH पिछले दरवाजे से हैकर को किसी डिवाइस पर मनमाने कोड को निष्पादित करने की अनुमति देता है।
• एक्सफ़िल्टरेशन जो QSnatch को सिस्टम कॉन्फ़िगरेशन और लॉग फ़ाइलों सहित फ़ाइलों की एक पूर्व निर्धारित सूची को चुराने में सक्षम बनाता है। ये आमतौर पर हैकर की सार्वजनिक कुंजी से एन्क्रिप्ट किए जाते हैं और HTTPS पर उनके बुनियादी ढांचे को अग्रेषित किए जाते हैं।
• रिमोट एक्सेस के लिए वेबशेल कार्यक्षमता

जबकि सुरक्षा विशेषज्ञ यह विश्लेषण करने में कामयाब रहे हैं कि QSnatch मैलवेयर का वर्तमान संस्करण क्या करने में सक्षम है, एक महत्वपूर्ण कारक उनसे बचने में विफल रहता है - मैलवेयर शुरू में उपकरणों को कैसे संक्रमित करता है।

जैसा कि पहले उल्लेख किया गया है, हैकर्स QNAP फर्मवेयर में पाई गई कमजोरियों का फायदा उठा सकते हैं या हमलावर व्यवस्थापक खाते के लिए सामान्य पासवर्ड का उपयोग कर सकते हैं। दुर्भाग्य से, इनमें से कोई भी तरीका संदेह से परे सत्यापित नहीं किया जा सका।

लेकिन एक बार हैकर्स के पैर जमाने के बाद, QSnatch मैलवेयर फर्मवेयर में इंजेक्ट हो जाता है और डिवाइस पर पूरा नियंत्रण कर लेता है। इसके बाद यह संक्रमित NAS पर जीवित रहने के लिए फर्मवेयर के भविष्य के अपडेट को ब्लॉक कर देता है।

चूंकि मैलवेयर इतना स्थायी है, इसलिए व्यवस्थापक फर्मवेयर अपडेट इंस्टॉल नहीं कर सकते हैं। एक विश्वसनीय एंटीवायरस का उपयोग सामान्य मैलवेयर के लिए काम कर सकता है, लेकिन वे इस मामले में प्रभावी नहीं हैं। फर्मवेयर को अपग्रेड करने और सभी नवीनतम अपडेट इंस्टॉल करने से पहले उपयोगकर्ताओं को एक पूर्ण फ़ैक्टरी रीसेट करने की आवश्यकता होती है, इस प्रक्रिया में मैलवेयर को हटाते हुए।

Qsnatch मैलवेयर कैसे निकालें

यह सुनिश्चित नहीं है कि मैलवेयर डीडीओएस हमलों, क्रिप्टोकुरेंसी खनन, या गोपनीय डेटा या भविष्य के होस्ट मैलवेयर चोरी करने के लिए विकसित क्यूएनएपी उपकरणों के लिए पिछले दरवाजे के रूप में काम करने के लिए बनाया गया था।

लेकिन अभी तक, QSnatch को हटाने का एकमात्र सफल तरीका NAS डिवाइस का फ़ैक्टरी रीसेट करना है। रीसेट करने के बाद, उपयोगकर्ताओं को उपलब्ध QNAP NAS फर्मवेयर अपडेट के नवीनतम संस्करण को स्थापित करने के लिए प्रोत्साहित किया जाता है।

यदि आपका संगठन इस मैलवेयर से संक्रमित हो गया है, तो यहां QNAP की अनुशंसा की गई है:

“QNAP ने QNAP NAS से मैलवेयर का पता लगाने और उसे हटाने के लिए 1 नवंबर को QTS ऑपरेटिंग सिस्टम के लिए अपने मालवेयर रिमूवर ऐप को अपडेट किया है। QNAP ने इस मुद्दे को हल करने के लिए 2 नवंबर को एक अद्यतन सुरक्षा सलाह भी जारी की। उपयोगकर्ताओं से आग्रह किया जाता है कि वे QTS ऐप सेंटर से या QNAP वेबसाइट से मैन्युअल रूप से डाउनलोड करके मैलवेयर रिमूवर ऐप का नवीनतम संस्करण स्थापित करें। QNAP QNAP NAS सुरक्षा संवर्द्धन के लिए कई कार्रवाइयों की भी सिफारिश करता है। वे सुरक्षा सलाह में भी विस्तृत हैं।"

नवीनतम फर्मवेयर में अपडेट करने के लिए, इस लिंक का अनुसरण करें:https://www.qnap.com/en/download

आप नीचे दिए गए निर्देशों का भी पालन कर सकते हैं:

1. क्यूटीएस में व्यवस्थापक के रूप में लॉग इन करें।
2. कंट्रोल पैनल> सिस्टम> फ़र्मवेयर अपडेट पर नेविगेट करें।
3. क्लिक करें अपडेट के लिए जांचें लाइव अपडेट . के अंतर्गत
4. QTS नवीनतम उपलब्ध अपडेट को डाउनलोड और इंस्टॉल करता है।

आपको नीचे दिए गए चरणों का पालन करके QNAP के बिल्ट-इन मालवेयर रिमूवर को भी अपडेट करना होगा:

1. क्यूटीएस में व्यवस्थापक के रूप में लॉग इन करें।
2. ऐप केंद्र खोलें , और फिर (+) बटन पर क्लिक करें।
3. जब मैनुअल इंस्टॉलेशन डायलॉग बॉक्स दिखाई दे, तो निर्देश पढ़ें।
4. ब्राउज़ करें क्लिक करें ।
5. जब फ़ाइल ब्राउज़र दिखाई दे, तो इंस्टॉलर फ़ाइल का पता लगाएँ और चुनें।
6. इंस्टॉल करें क्लिक करें ।
7. एक पुष्टिकरण संदेश पॉप अप होता है।
8. ठीकक्लिक करें ।
9. QTS को अब मैलवेयर रिमूवर का नवीनतम संस्करण इंस्टॉल करना चाहिए।
10. पुष्टिकरण संदेश दिखाई देने पर, ठीक click क्लिक करें ।
11. जब आवश्यक अपडेट संवाद बॉक्स प्रकट होता है, तो अभी अपडेट करें पर क्लिक करें।
12. QTS को मैलवेयर रिमूवर को नवीनतम संस्करण में अपडेट करना चाहिए।
13. मैलवेयर रिमूवर खोलें, फिर स्कैन प्रारंभ करें क्लिक करें।

यह मैलवेयर के लिए NAS को स्कैन करेगा और किसी भी खतरे को मिटा देगा।

QSnatch संक्रमण को कैसे रोकें

मैलवेयर संक्रमण को रोकने के लिए, QNAP निम्नलिखित सुरक्षा उपायों की भी जोरदार अनुशंसा करता है:

• व्यवस्थापक पासवर्ड बदलें और अद्वितीय, मजबूत पासवर्ड का उपयोग करें।
• अन्य उपयोगकर्ता पासवर्ड बदलें और उन्हें यथासंभव यादृच्छिक बनाएं।
• अपना QNAP आईडी पासवर्ड भी बदलें।
• इसे क्रैक करना मुश्किल बनाने के लिए एक मजबूत डेटाबेस रूट पासवर्ड का उपयोग करें।
• अज्ञात या संदिग्ध खातों को हटा दें जिन्हें मैलवेयर ने बनाया होगा।
• जानवर बल के हमलों से बचने के लिए आईपी और खाता पहुंच सुरक्षा सक्षम करें।
• यदि इन सेवाओं का उपयोग नहीं किया जा रहा है तो SSH और टेलनेट कनेक्शन अक्षम करें।
• वेब सर्वर, SQL सर्वर या phpMyAdmin ऐप को भी अक्षम करें।
• दोषपूर्ण, अज्ञात या संदिग्ध ऐप्स को हटा दें।
• 22, 443, 80, 8080, और 8081 सहित पोर्ट नंबर डिफ़ॉल्ट न करें।
• ऑटो राउटर कॉन्फ़िगरेशन बंद करें और सेवाएं प्रकाशित करें।
• myQNAPक्लाउड में एक्सेस कंट्रोल को प्रतिबंधित करें।

ऊपर दिए गए कदम आपके QNAP उपकरणों को इन हमलों का निशाना बनने से रोकेंगे। QSnatch से संक्रमित होने से न केवल आपके क्रेडेंशियल चोरी होने का खतरा होता है, बल्कि आपके द्वारा मैलवेयर को हटाने के लिए NAS ड्राइव को पुन:स्वरूपित करने पर आपका सारा डेटा भी हटा दिया जाएगा। इसलिए ऐसा होने से रोकने के लिए, बहुत देर होने से पहले अपने ड्राइव पर सख्त सुरक्षा उपायों को लागू करना सुनिश्चित करें।