台灣電腦網路危機處理暨協調中心-TWCERT/CC

根據QNAP PSIRT資訊，自10/23起，其陸續接獲德國及荷蘭的使用者通報其ISP偵測到有異常的網路行為。根據德國CERT-Bund公布的數據，在德國就已有7,000起之案例，其ISP已針對受害之用戶進行隔離處理。

經QNAP調查，此次事件主要是源於一被稱作QSnatch的惡意程式所造成。該惡意程式在感染了NAS系統後，會將惡意程式碼注入於受害系統中，並且修改系統設定以防止其韌體更新，以及關閉QNAP的防毒軟體Malware Remover，並定期將資訊回傳給C&C伺服器，可能造成個資或機敏資料的外洩。

而QNAP為處理該事件，其提供了刪除該惡意程式之規則，且目前已推出最新版本之Malware Remover 3.5.4.0/4.5.4.0，可以協助用戶清除QSnatch惡意程式，並提出以下建議：

1.    將QTS更新至最新版本
2.    安裝Security Counselor，並更新至最新版本
3.    安裝Malware Remover，並更新至最新版本
4.    應使用高強度的管理者密碼
5.    應啟用IP以及帳戶存取防護，以避免遭受暴力攻擊
6.    若非需要，應盡量關閉SSH與Telnet連線
7.    應避免使用默認的443與8080 埠

• 參考資料：
  • https://preview.qnap.com/en/security-advisory/nas-201911-01
  • https://www.zdnet.com/article/thousands-of-qnap-nas-devices-have-been-infected-with-the-qsnatch-malware/?ftag=COS-05-10aaa0h&utm_campaign=trueAnthem%3A+Trending+Content&utm_content=5dbb4b964c15b80001494d85&utm_medium=trueAnthem&utm_source=facebook