iT邦幫忙

3

QNAP 被埋入 XMR(非比特幣)挖礦機事件:判斷是否被埋設挖礦程式、程式如何運作與來源、解決方案

Hi,

最近 XMR(非比特幣)挖礦程式,就是疑似在尚未安裝 March 21, 2017 發布 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313 的 NAS-201703-21 的 QNAP NAS 上被安裝 CPUMiner 到 mineXMR.com 幫忙挖礦的事件,初版已經先整理好在這裡,我還在潤稿與翻譯中,陸續發佈更新與翻譯:

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program

如果您是 4.3.3 的使用者,不要相信 Dashboard 的 Resource Monitor,那裡的數字不準確。

因為我的 4.2.2 與 4.3.3 都沒有問題,而且該程式是針對 x86-64 設計,解決方案也有,國外已經在五天前停止討論這件事情了。

時間很趕,我先丟出初版,目前還在潤稿與翻譯中,陸續發佈更新與翻譯!

Wish it helps!


1
amigoccs
iT邦研究生 4 級 ‧ 2017-05-04 11:21:40

更新:在 文章 的 [Use Malware Remover] 有詳細說明安裝、使用方式、與觀察執行成效。

amigoccs iT邦研究生 4 級‧ 2017-05-04 17:25:43 檢舉

如果您想要進一步認識 QNAP Malware Remover 2.1.0 程式,可以參考我剛寫好的 Detail Explain of QNAP Malware Remover 2.1.0

基本上就是個 shell script,沒有針對 x86-64 的執行檔案,換句話說,可以用在 ARM 系列上!

amigoccs iT邦研究生 4 級‧ 2017-05-04 20:08:07 檢舉

Hi,

雖然可以順利辨識、移除這次的挖礦軟體,我也建議大家(包含 QNAP, Asustor, Thecus, Synology 這四家廠牌)參考 Synology Security Issue and How-to Harden your NAS,幫您的 NAS 加強資安防護文章包含四家廠家廠牌的資安設定。

另外,也可以在網路分享器的防火牆設定中,阻擋來自內網往外,與外網往內的 tcp 4444 port,讓 CPUMiner 無法連線到 mineXMR.com,這樣就沒有東西可以計算,間接降低對 NAS 的負擔。

Just my two cents.

0
amigoccs
iT邦研究生 4 級 ‧ 2017-05-04 22:59:40

不到 15 個小時,QNAP Malware Remover 已經有了一個小更新,主要差異在 MalwareRemover.sh 與 package_routines 這兩個檔案!新版本會在每天凌晨三點自動開始掃描。

前者增加一個變數紀錄掃描結果,與對應的 log 訊息;後者增加安裝時加入 cron 的設定值。

詳細程式碼檔案比較結果分享,請參考 Detail Explain of QNAP Malware Remover 2.1.0 的 Update: 2.1.1 Add To Scan at 3:00AM Everyday 小節。

0
amigoccs
iT邦研究生 4 級 ‧ 2017-05-05 00:07:11

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 摘錄中文如下:

這個問題在 2017/4/18 開始在社群出現,在 2017/4/28 停止討論,4/28 快速在台灣社群討論,一開始大家以為是 4.3.3 的問題,最後發現是有不明程式的挖礦程式在執行。

  1. 發生什麼事

CPUMiner 被植入的 QNAP NAS,透過 tcp 4444 為 mineXMR.com 提供運算。

CPUMiner (forked by LucasJones & Wolf) 在 GitHub: OhGodAPet/cpuminer-multi 可以下載,該程式僅能在 x86-64 執行。

  1. 如何判斷是否有 CPUMiner 在我的 NAS

    2.1 CPU 總是很忙

    如果在 [CPU usage] 看到即使沒有在工作,也總是維持在 30% 以上,你要注意並且繼續下面的步驟。

    2.2 不明 Process

使用 ps 檢查是否有 /mnt/HDA_ROOT/disk_manage.cgi 在執行,有的話很有可能中獎,繼續下個檢查。

disk_manage.cgi 是標準 process,但是 /mnt/HDA_ROOT/disk_manage.cgi 並不是,注意兩者不同。

這次一共有三個可疑程式:

a. /mnt/HDA_ROOT/disk_manage.cgi
b. /mnt/HDA_ROOT/qwatchdogd.cgi
c. /mnt/HDA_ROOT/rcu_shed.cgi

2.3 不明排程工作

如果在 cron 之中看到有 /mnt/HDA_ROOT/rcu_shed,應該就是中獎了。

  1. 解決方案

    3.1 殺掉 Process

    [~] # kill -KILL PID_OF_/mnt/HDA_ROOT/disk_manage.cgi
    [~] # kill -KILL PID_OF_/mnt/HDA_ROOT/qwatchdogd.cgi
    [~] # kill -KILL PID_OF_/mnt/HDA_ROOT/rcu_shed.cgi

    3.2 停止自動載入

    編輯 cron 設定檔案,移除這列指令: "*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed",並且覆寫檔案

    3.3 趕緊上補丁

    4.2.x 使用者趕緊裝上 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 and 20170124 與 Security Vulnerabilities Addressed in QTS
    4.2.4 Build 20170313.

    4.3.x 使用者可以安裝新韌體版本 4.3.3.0174 build 20170503

    3.4 刪除殘渣

    最後記得刪除 /mnt/HDA_ROOT/ 的 disk_manage.cgi, qwatchdogd, rcu_shed, 與 rcu_shed.json 這四個檔案

    3.5 使用 QNAP Malware Remover

    請在 QTS 的 [App Center] 搜尋並安裝 Malware Remover,也可以直接下載 檔案

    第一次安裝後會立刻執行,並且回報在 [System Logs]。之後每天凌晨三點會自動執行。

結語

建議同時閱讀 Synology Security Issue and How-to Harden your NAS ,內容有 QNAP, Asustor, Thecus, 與 Synology 的資安相關設定。

Just my two cents.

0
蟹老闆
iT邦大師 1 級 ‧ 2017-05-05 04:10:25

請問是植入的方式是透過什麼管道?

看更多先前的回應...收起先前的回應...
amigoccs iT邦研究生 4 級‧ 2017-05-05 16:32:38 檢舉

Hi, 目前還不清楚,但是優先提供移除程式,與自動排程掃描。

amigoccs iT邦研究生 4 級‧ 2017-05-05 16:35:02 檢舉

我文章中有提,國外 4.2.x 在上資安補丁之後,就沒有再次討論這個話題。但是台灣有 4.2.x 與 4.3.x 都有回報,狀況比較混亂。所以我目前也無法判斷可能的資安途徑。不過後來發現許多是誤報,所以我才花時間寫文章,提供一致而且完整的檢驗方式,避免大家恐慌。

Ruei iT邦研究生 1 級‧ 2017-05-09 17:57:32 檢舉

想到這週末才幫我家 451 更新一下,想說跨過一版應該比較安全(死

amigoccs iT邦研究生 4 級‧ 2017-05-09 20:03:04 檢舉

先加上安全補丁吧!

amigoccs iT邦研究生 4 級‧ 2017-05-14 22:22:42 檢舉

Hi 蟹老闆,

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內容更新:

Command Injection 是透過舊版本的 Photo Station 攻擊 NAS, QTS 4.3.x 的使用者請儘速升級 Photo Station 到 5.4.1 ( 2017/05/14 )版本。QTS 4.2.x 的使用者請升級到 Photo Station 5.2.7。

尚未安裝 Malware Remover 的使用者,請先升級 Photo Station 再安裝 Malware Remover,避免再次被入侵。

沒有安裝 Photo Station 的使用者不必刻意下載安裝這個軟體,他不是系統的安全更新。

Wish it helps!

了解,感謝提供這個重要的資訊

0
amigoccs
iT邦研究生 4 級 ‧ 2017-05-05 16:31:52

QNAP Malware Remover 的補充說明:

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Use QNAP Malware Remover 小節,增加說明只要 NAS 重新開機,MallwareRemover.sh 就會自動執行一次。

Detail Explain of QNAP Malware Remover 2.1.0 增加分析,根據 qinstall.sh 的 Link service start/stop script 小節,可以看出 /etc/init.d/MalwareRemover.sh 被加入開機執行程序中,它指向 /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh*,所以只要重啓作業系統就會被執行一次。不必擔心晚上關機永遠沒有被執行自動掃描。

另外,QTS 4.3.3.0154 build 20170413 是 NAS 偵測到的最新版本,但實際上另外有針對特定型號的 QTS 4.3.3.0174 build 20170503,在 Release Notes for QTS 有詳細說明。

MalwareRemover 的版本說明在 這裏,也已經公佈在 Security Bulletins and Advisories

Just my two cents.

0
amigoccs
iT邦研究生 4 級 ‧ 2017-05-14 16:24:36

Hi,

根據國外網友的資安鑑識報告,更新 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program內文,增加下列章節,說明事件如何發生,以及如何避免往後的攻擊:

  1. How It Hacks 如何入侵 - 簡言之,使用 Command Injection

  2. How to Prevent from Command Injection 如何避免 Command Injection - 要進入系統修改設定,分配適當的執行權限

你可能需要參考:

  1. QNAP QTS Configuration and Executable Files - 說明各設定檔案在哪個資料夾

  2. phpinfo() Reports on NAS - 提供各家(QNAP, Asustor, Thecus, Synology)NAS 的執行報告下載

Have a nice weekend!

0
amigoccs
iT邦研究生 4 級 ‧ 2017-05-14 22:23:17

Hi,

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內容更新:

Command Injection 是透過舊版本的 Photo Station 攻擊 NAS, QTS 4.3.x 的使用者請儘速升級 Photo Station 到 5.4.1 ( 2017/05/14 )版本。QTS 4.2.x 的使用者請升級到 Photo Station 5.2.7。

尚未安裝 Malware Remover 的使用者,請先升級 Photo Station 再安裝 Malware Remover,避免再次被入侵。

沒有安裝 Photo Station 的使用者不必刻意下載安裝這個軟體,他不是系統的安全更新。

Wish it helps!

0
amigoccs
iT邦研究生 4 級 ‧ 2017-05-16 12:14:54

Hi,

網友反應安裝 Malware Remover 2.1.2 之後,TS-269H 會處於 CPU 高負載狀態。

我這邊蒐集到的 TS-269H 資料,有 TS-269H 的網友回覆,可以先移除 Malware Remover 2.1.2,安裝 2.1.1,就不會有 CPU 很忙碌的問題。

另外,我們在 2017/5/15 10:00PM ~ 11:30PM 討論,認為有偵測到 Malware 後,應該要重新安裝韌體,比較好,避免有任何檔案不是原廠。

我目前還在整理這段步驟,會盡快分享給大家,快要 12:00PM 了,大家先去吃午飯休息一下吧!

如果您無法下載 2.1.1,可以參考 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Reference #28 連結,從 QNAP 原廠下載 2.1.0 或 2.1.1 版本。兩者的差異在 Detail Explain of QNAP Malware Remover 2.1.0 有說明。

Wish it helps!

0
amigoccs
iT邦研究生 4 級 ‧ 2017-05-17 00:37:37

Hi,

我剛剛更新文件,TS-269H 的問題與解法寫在這 "TS-269H User with Malware Remover 2.1.2 Issue and Solutions",我簡單翻譯為中文:

[b]TS-269H 安裝 Malware Remover 2.1.2 的問題與解決方案[/b]

TS-269H 的使用者報告安裝 2.1.2 導致 CPU 使用率飆高,操作緩慢或無法登入,tcbyxx 分享解決方案如下:

1. 手動下載 Malware Removal 2.1.1 on QNAP
2. 輸入 TS-269H 網址
3. 利用電源鈕關閉,再開啟 TS-269H
5. 盯著登入畫面,或更新頁面,直到看到登入頁面,立刻登入
6. 趕緊到 App Center 移除 Malware Remover 2.1.2,或立刻升級為 2.1.3
7. 重開機

今天也新增 "Update on 2017/5/16 about "crontab -e" 小節,紀錄為什麼無法使用這個命令:

“However, due to the way the QNAP firmware updates crontab, it will be overwritten on the next reboot. Obviously, you want your automation to survive reboots, so edit the crontab file directly with your text editor:”

Wish it helps!

0
amigoccs
iT邦研究生 4 級 ‧ 2017-05-17 13:11:34

Hi,

Detail Explain of QNAP Malware Remover 2.1.0 是針對 QNAP Malware Remover 2.1.x 的分析,包含如何拆解打包、程式碼行為,目前更新到 2.1.3

拆解 QPKG

需要安裝 QDK (QNAP Development Kit) ,利用下面的指令拆解檔案到指定資料夾:

[/share/Public] # qbuild --extract MalwareRemover_2.1.0.qpkg ./MalwareRemover

拆解後,再解壓縮 data.tar.gz 檔案:

[/share/Public] # tar -zxvf data.tar.gz

2.1.1

增加排程掃描

2.1.2

增加對機型的判別式,移除另一個 Malware。換句話說,這個版本可以移除兩個 malware

2.1.3

針對 TS-269H 修正 2.1.2 導致的 CPU 使用率飆高的現象

Just my two cents.

我要留言

立即登入留言