QNAP 被植入挖礦程式的入侵方式、判斷、清除、與預防

Amigo

Hi,

最近 XMR(非比特幣)挖礦程式,就是疑似在尚未安裝 March 21, 2017 發布 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313 的 NAS-201703-21 的 QNAP NAS 上被安裝 CPUMiner 到 mineXMR.com 幫忙挖礦的事件,英文版已經先整理好在這裡,中文版我還在翻譯中,陸續發佈更新與翻譯:

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program

如果您想要進一步認識 QNAP Malware Remover 2.1.0 程式,可以參考我剛寫好的 Detail Explain of QNAP Malware Remover 2.1.0

基本上就是個 shell script,沒有針對 x86-64 的執行檔案,換句話說,可以用在 ARM 系列上!

不到 15 個小時,QNAP Malware Remover 已經有了一個小更新,主要差異在 MalwareRemover.sh 與 package_routines 這兩個檔案!新版本會在每天凌晨三點自動開始掃描。

前者增加一個變數紀錄掃描結果,與對應的 log 訊息;後者增加安裝時加入 cron 的設定值。

詳細程式碼檔案比較結果分享,請參考 Detail Explain of QNAP Malware Remover 2.1.0 的 Update: 2.1.1 Add To Scan at 3:00AM Everyday 小節。

雖然可以順利辨識、移除這次的挖礦軟體,我也建議大家(包含 QNAP, Asustor, Thecus, Synology 這四家廠牌)參考 [集中] Amigo 的 NAS 研究筆記 #20 的 1. Synology Security Issue and How-to Harden your NAS,幫您的 NAS 加強資安防護文章包含四家廠家廠牌的資安設定。

另外,也可以在網路分享器的防火牆設定中,阻擋來自內網往外,與外網往內的 tcp 4444 port,讓 CPUMiner 無法連線到 mineXMR.com,這樣就沒有東西可以計算,間接降低對 NAS 的負擔。

Wish it helps!

I am currently self-employee providing CRM Consulting service and developing software applications. Welcome to check my blog @ Amigo's Technical Notes

Amigo

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 摘錄中文如下:

這個問題在 2017/4/18 開始在社群出現,在 2017/4/28 停止討論,4/28 快速在台灣社群討論,一開始大家以為是 4.3.3 的問題,最後發現是有不明程式的挖礦程式在執行。

1. 發生什麼事

CPUMiner 被植入的 QNAP NAS,透過 tcp 4444 為 mineXMR.com 提供運算。

CPUMiner (forked by LucasJones & Wolf) 在 GitHub: OhGodAPet/cpuminer-multi 可以下載,該程式僅能在 x86-64 執行。

2. 如何判斷是否有 CPUMiner 在我的 NAS

2.1 CPU 總是很忙

如果在 [CPU usage] 看到即使沒有在工作,也總是維持在 30% 以上,你要注意並且繼續下面的步驟。

2.2 不明 Process

使用 ps 檢查是否有 /mnt/HDA_ROOT/disk_manage.cgi 在執行,有的話很有可能中獎,繼續下個檢查。

disk_manage.cgi 是標準 process,但是 /mnt/HDA_ROOT/disk_manage.cgi 並不是,注意兩者不同。

這次一共有三個可疑程式:

a. /mnt/HDA_ROOT/disk_manage.cgi
b. /mnt/HDA_ROOT/qwatchdogd.cgi
c. /mnt/HDA_ROOT/rcu_shed.cgi

2.3 不明排程工作

如果在 cron 之中看到有 /mnt/HDA_ROOT/rcu_shed,應該就是中獎了。

3. 解決方案

3.1 殺掉 Process

[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/disk_manage.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/qwatchdogd.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/rcu_shed.cgi

3.2 停止自動載入

編輯 cron 設定檔案,移除這列指令: "*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed",並且覆寫檔案

3.3 趕緊上補丁

4.2.x 使用者趕緊裝上 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 and 20170124 與 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313.

4.3.x 使用者可以安裝新韌體版本 4.3.3.0174 build 20170503

3.4 刪除殘渣

最後記得刪除 /mnt/HDA_ROOT/ 的 disk_manage.cgi, qwatchdogd, rcu_shed, 與 rcu_shed.json 這四個檔案

3.5 使用 QNAP Malware Remover

請在 QTS 的 [App Center] 搜尋並安裝 Malware Remover,也可以直接下載 檔案

第一次安裝後會立刻執行,並且回報在 [System Logs]。之後每天凌晨三點會自動執行。

結語

建議同時閱讀 Synology Security Issue and How-to Harden your NAS ,內容有 QNAP, Asustor, Thecus, 與 Synology 的資安相關設定。

Just my two cents.

I am currently self-employee providing CRM Consulting service and developing software applications. Welcome to check my blog @ Amigo's Technical Notes

Amigo

QNAP Malware Remover 的補充說明:

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Use QNAP Malware Remover 小節,增加說明只要 NAS 重新開機,MallwareRemover.sh 就會自動執行一次。

Detail Explain of QNAP Malware Remover 2.1.0 增加分析,根據 qinstall.sh 的 Link service start/stop script 小節,可以看出 /etc/init.d/MalwareRemover.sh 被加入開機執行程序中,它指向 /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh*,所以只要重啓作業系統就會被執行一次。不必擔心晚上關機永遠沒有被執行自動掃描。

另外,QTS 4.3.3.0154 build 20170413 是 NAS 偵測到的最新版本,但實際上另外有針對特定型號的 QTS 4.3.3.0174 build 20170503,在 Release Notes for QTS 有詳細說明。

MalwareRemover 的版本說明在 這裏,也已經公佈在 Security Bulletins and Advisories

Just my two cents.

Amigo

Hi,

根據國外網友的資安鑑識報告,更新 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內文,增加下列章節,說明事件如何發生,以及如何避免往後的攻擊:

1. How It Hacks 如何入侵 - 簡言之,使用 Command Injection

2. How to Prevent from Command Injection 如何避免 Command Injection - 要進入系統修改設定,分配適當的執行權限

你可能需要參考:

1. QNAP QTS Configuration and Executable Files - 說明各設定檔案在哪個資料夾

2. phpinfo() Reports on NAS - 提供各家(QNAP, Asustor, Thecus, Synology)NAS 的執行報告下載

Have a nice weekend!

Amigo

Hi,

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內容更新:

Command Injection 是透過舊版本的 Photo Station 攻擊 NAS, QTS 4.3.x 的使用者請儘速升級 Photo Station 到 5.4.1 ( 2017/05/14 )版本。QTS 4.2.x 的使用者請升級到 Photo Station 5.2.7。

尚未安裝 Malware Remover 的使用者,請先升級 Photo Station 再安裝 Malware Remover,避免再次被入侵。

沒有安裝 Photo Station 的使用者不必刻意下載安裝這個軟體,他不是系統的安全更新。

Wish it helps!

原文網址:https://t17.techbang.com/topics/46568-qnap-into-mining-procedure-judging-and-clear?page=1