qsnatch - Schädling speziell für QNAP NAS oder Fake?

lord-of-fire

Banned
Registriert
Okt. 2011
Beiträge
4.240
Hat dazu jmd genauere Informationen?
Mein DSL Provider hat mir mitgeteilt, daß an meinem Anschluß eine Infektion mit einem Schädling namens qsnatch festgestellt wurde. Dazu habe ich genau einen Link auf eine finnische Website gefunden, dem zufolge allein die Wiederherstellung des Auslieferungszustandes helfen soll. Die Detailinformationen zu dem Schädling halten sich aber auch arg in Grenzen bzw sind sehr allgemein gehalten. Der dortige Link zu QNAP führt zu allgemeinen Sicherheitshinweisen. Eine Suche direkt bei QNAP nach qsnatch führt zu 0 Treffern.
Tatsächlich habe ich beim Blick ins Log meines NAS festgestellt, daß der Virenscanner immer wieder meldet, keine Updates laden zu können. Manuell gestartet hat er dies aber grad getan und ist am scannen. Danach lasse ich den Malware Remover auch noch drüber laufen.
Der Mangel an nachvollziehbaren Informationen läßt mich an der Echtheit der Meldung zweifeln.
Daher meine Frage ans Forum: Kann jmd die Plausibilität bestätigen?

Mein NAS ist über myqnapcloud.com erreichbar. Es gibt außer meinem eigenen nur 4 Benutzerkonten, alle mit eingeschränkten Rechten, 2 davon RO.

Sollte meine Frage in der NAS Ecke besser aufgehoben sein, bitte verschieben.
 
lord-of-fire schrieb:
Mein DSL Provider hat mir mitgeteilt, daß an meinem Anschluß eine Infektion mit einem Schädling namens qsnatch festgestellt wurde.
Und die Nachricht ist echt? Ich frag nur, weil ich solche Mails auch bekommen hab die aber letztlich nur ein Angriffsversuch war und die nur wollten, das ich den Mail-Anhang öffne.
Und wenn der Provider Dir nicht mal sagen kann, wie er darauf kommt das Du infiziert bist und was das Ding macht, das riecht schon ziemlich verdächtig. Da muss ich Dir zustimmen.

lord-of-fire schrieb:
Mein NAS ist über myqnapcloud.com erreichbar.
Was heißt denn "erreichbar" ?

lord-of-fire schrieb:
Tatsächlich habe ich beim Blick ins Log meines NAS festgestellt, daß der Virenscanner immer wieder meldet, keine Updates laden zu können.
Mit welchem Server versucht er sich denn zu verbinden? Und kannst Du den manuell vom NAS aus erreichen (ping, curl, whatever).
 
  • Gefällt mir
Reaktionen: John Sinclair
Die Mail sieht echt aus, enthält keine versteckten Links, dafür aber meine Kunden-, Vertrags- und eine Ticketnummer.
An "echten" Informationen nur das hier:
Details des Risikos:

Zeitpunkt der Erkennung: 25.10.2019 09:15:03 UTC
Bezeichnung des Virus: qsnatch

andy_m4 schrieb:
Was heißt denn "erreichbar" ?
D.h. es gibt einen URL nach dem Muster xyz.myqnapcloud.com, der von außen per http und ftp erreichbar ist. Port forwarding im Router ist nur und ausschließlich für die hierfür benötigten Ports aktiviert.
Mit welchem Server versucht er sich denn zu verbinden? Und kannst Du den manuell vom NAS aus erreichen (ping, curl, whatever).
http://database.clamav.net/main.cvd
Ist bei QNAP der Standard Virenscanner.
Ob der Server vom NAS aus erreichbar ist, werde ich testen, sobald der Scan fertig ist.

carnival55 schrieb:
Entweder Fake, sehr neu oder sehr alt.
Cert meldet nix dazu -Link-
einen passenden CVE sehe ich auch nicht. -Link-
Sehr alt schließe ich aus, denn dann hätte ich in den Weiten des Netzes zumindest irgendwas dazu gefunden.
Fake halte ich für wahrscheinlich mangels irgendwelcher fundierter Informationen.
Sehr neu wäre noch eine Möglichkeit, da der finnische Link gerade mal 12 Tage alt ist. Wobei 12 Tage bei einem neuen Schädlich auch schon eine ziemliche Zeitspanne ist und der dann zwischenzeitlich auch andernorts dokumentiert und vor allem analysiert sein sollte.
 
Ups, richtig, 2 Tage, nicht 12. Ich dachte, vorhin 15.10.19 gelesen zu haben.
 
Der "finnische Link" legt ja auch nahe, das die Infektion nur bei veralteter Firmware möglich ist. Sprich das in der NAS-System-Software ein sicherheitsrelevanter Bug ist. Wenns also ne neuere System-Version gibt als auf dem NAS drauf ist das sowieso schon mal suboptimal.

Und ja. Anhand der Angaben scheint die Provider-Mail echt zu sein.
 
Die installierte FW ist tatsächlich nach Rücksprache mit dem Support von QNAP nicht die neueste, da diese Kompatibilitätsprobleme mit einigen hier benötigten Apps aus dem QNAP Store hatte. Nach längerer Diskussion hatte der Techniker von QNAP mir ausdrücklich empfohlen, die letzte bekannt funktionierende FW zu installieren und das Ganze so zu lassen. Autoupdate ist daher seit etwa einem Jahr deaktiviert.
 
4.3.3.0299 auf einem TS-412

Was ich neben dem Virenscan auf jeden Fall noch machen werde, ist, den Support von QNAP diesbezüglich kontaktieren und nachfragen, ob da ggf was bekannt ist.
Und morgen früh direkt beim Provider anrufen und nachfragen, wie denn die verdächtigen Aktivitäten ausgesehen haben sollen.
Was ich auf jeden Fall grad schon feststellen konnte, ist, daß sich der Malware Remover wie beschrieben schon gleich nicht starten läßt. Der lädt in Endlosschleife...
 
Also seit einem Jahr die Aktualisierung der Firmware eingefroren und nicht zwischendurch mal abgecheckt ob sich was geaendert hat.

BFF
 
lord-of-fire schrieb:
Nach längerer Diskussion hatte der Techniker von QNAP mir ausdrücklich empfohlen, die letzte bekannt funktionierende FW zu installieren und das Ganze so zu lassen. Autoupdate ist daher seit etwa einem Jahr deaktiviert.
Das war kein guter Ratschlag. Jegliche netzwerkrelevante Software ist stets auf dem aktuellsten Stand zu halten!

Die Firmware stammt aus 2017:
-> https://www.cvedetails.com/vulnerab...06/version_id-223939/Qnap-QTS-4.3.3.0299.html

Danach gab es u.a. noch weitere, schwerwiegende Sicherheitslücken:
-> https://www.cvedetails.com/cve/CVE-2018-0721/
-> https://www.cvedetails.com/cve/CVE-2018-14746/

Gesamtliste:
-> https://www.cvedetails.com/vulnerability-list/vendor_id-10080/product_id-26806/Qnap-QTS.html

Alleine 2019 wurde mehrere Sicherheitsupdates veröffentlicht:
-> https://www.qnap.com/de-de/download?model=ts-412&category=firmware

Kurzum: Das TS-412 befindet sich bei Dir in der Tat in einem sehr verwundbaren Zustand. Eine Infektion, wie in der Mail stehend, ist damit sehr wahrscheinlich.

lord-of-fire schrieb:
Was ich auf jeden Fall grad schon feststellen konnte, ist, daß sich der Malware Remover wie beschrieben schon gleich nicht starten läßt. Der lädt in Endlosschleife...
Darauf kann man sich nach einer Infektion auch nicht stützen. Ist ein System kompromittiert, ist es mit ihm auch die Software, die auf ihm läuft, und somit natürlich auch der Virenscanner. Die Firmware ist hier komplett neu zu flashen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Helge01
Du kannst davon ausgehen das die Kiste befallen ist, wenn die Firmware so alt ist. Es ist schon so ein Risiko ein NAS im Internet freizugeben. Der ClamAV Virenscanner wird nichts finden, da er nicht das System, sondern nur die Samba shares scannt.
 
OK, dann kann ich den Virenscan auch abbrechen und nach einem Reboot erstmal versuchen, den Malware Remover zu starten.
QNAP Support hab ich grad kontaktiert.

Edit: Ich wollte das TS-412 ja eh ersetzen, da es seit rund 6 Jahren hier in Betrieb ist. Aber eigentlich hatte ich das erst fürs neue Jahr aufm Plan. Ich denke, die einfachste Lösung wird darin bestehen, diese Investition vorzuziehen...
 
lord-of-fire schrieb:
[...] und nach einem Reboot erstmal versuchen, den Malware Remover zu starten.
Wie ich gerade schrieb, der (oder jeglicher anderer) "Malware-Remover" bietet hier keine sichere Basis, um danach so mit dem TS-412 weiterarbeiten zu können.

lord-of-fire schrieb:
Ich wollte das TS-412 ja eh ersetzen, da es seit rund 6 Jahren hier in Betrieb ist.
Das ist ja letztlich bezüglich der Sicherheit unerheblich, da es jetzt immer noch Updates für den TS-412 gibt. Man muss die Firmware nur einspielen. Und das muss man auch bei einem neuen NAS so machen. Stetig,
 
Siehe hierzu mein Edit. ;)

OK, auch hierzu Edit: Die FW wurde in Rückspache mit dem Support ja wegen bekannter Kompatibilitätsprobleme auf dem alten Stand eingefroren. Diese hätten eben auch eine komplette Neuinstallation erforderlich gemacht.
Da die jetzt sowieso ansteht, migriere ich meine Daten gleich auf ein neues Gerät.
 
Zuletzt bearbeitet:
lord-of-fire schrieb:
Die installierte FW ist tatsächlich nach Rücksprache mit dem Support von QNAP nicht die neueste, da diese Kompatibilitätsprobleme mit einigen hier benötigten Apps aus dem QNAP Store hatte.
Oh-ha. Genau wegen solcher Sachen mag ich die Fertig-NAS nicht. Dann lieber so sich die passende Hardware raussuchen und dann ein Linux oder BSD der Wahl drauf laufen lassen. Dann hat man nicht nur bessere Softwareauswahl, sondern auch die Updates besser im Griff.

Dr. McCoy schrieb:
Das war kein guter Ratschlag.
Zustimmung. Im Grunde disqualifiziert sich damit qnap.
 
  • Gefällt mir
Reaktionen: Michael NRW und pedder59
Gibt es da eigentlich schon neuere Infos irgendwo dazu?
Bin selbst auf der Version 4.4.1.1086 habe aber gemerkt, dass der Malware Remover nicht aktualisiert wird, bricht ab mit einer Meldung, dass ein Dateifehler vorliegt.
Mails bekomme ich auch keine mehr von meinem NAS, das liegt angeblich an einer ausgelaufenen Berechtigung auf meinen Mailaccount.

Habe gerade eine neue Firmware eingespielt, Mal sehen ob das Update des Malware Remover danach geht.

Eine IP Range für den Zugriff ist eingestellt, unbekannte Benutzerkonten sehe ich auch keine. Aus dem Internet ist das NAS nicht zugreifbar, keine Weiterleitung im Router und auch nicht per myqnap.

Wie macht sich das Teil denn bemerkbar? Ist da was bekannt?
 
Zurück
Oben