Независимый эксперт Ксавье Мертенс (Xavier Mertens) проанализировал подозрительный шелл-скрипт, найденный читателем блога ISC SANS на сетевом накопителе от QNap. Как оказалось, сторонний код сильно обфусцирован и устанавливает CGI-скрипт, нацеленный на кражу паролей администратора.

Судя по сообщениям форумчан QNap, новая угроза объявилась на устройствах вендора в сентябре. Анализ содержимого zip-архива, предоставленного в распоряжение ISC SANS, показал, что он содержит два схожих по результату сценария, именуемых autorun.sh и K01YgToEc.sh. По словам Мертенса, на момент подготовки блог-записи эти образцы на Virus Total отсутствовали.

Исследование показало, что оба скрипта обфусцированы одним и тем же способом — с помощью консольной команды tr. В результате код наполнился «шумом» — случайными знаками, восьмеричными кодами и неопределенными переменными; вместо некоторых символов был подставлен шестнадцатеричный эквивалент.

Проведенный Мертенсом анализ подтвердил функциональность зловредного autorun.sh, выявленную одним из участников QNap-сообщества. Скрипт исследует настройки NAS-хранилища, создает в разных местах скрытые папки и заполняет их вредоносным содержимым. Он также добавляет задачи в расписание Cron-службы, устанавливает программы для работы с SSH и UPnP и загружает целевой CGI-скрипт, способный отслеживать авторизацию в ОС QTS и похищать пароль администратора (если тот не дефолтный — это тоже проверяется).

Каким образом злоумышленники внедряют свой шелл-скрипт, определить пока не удалось. Мертенс предположил, что они используют одну из свежих уязвимостей в QTS. Не исключено также, что вектором атаки является брешь в каком-либо веб-приложении — например, в Music Station, которое у некоторых жертв оказалось установленным и включенным. Форумчане советуют проверить все программы в папке .qpkg и по возможности их переустановить.

При появлении признаков заражения пользователям рекомендуется отключить NAS-устройство от Интернета и локальной сети, а затем выполнить очистку и обновить прошивку. Чтобы зловредный сценарий не переустановился в ходе очистки, следует зайти в Панель управления -> Параметры системы -> Оборудование -> Общие и снять флажок в поле Run user defined processes during startup («Запуск определяемых пользователем процессов при загрузке системы») — эта опция была введена в QTS 4.3.3. Таким же образом можно предотвратить автозагрузку всех вредоносных скриптов.

Категории: Аналитика, Вредоносные программы