QNAP NAS 감염시키는 QSnatch 악성코드

2019.10.31일 NCSC-FI(핀란드 국립 사이버 보안 센터)는, QNAP의 NAS(네트워크 저장장치)에서 작동하는 QSnatch라는 악성코드를 발견했다. 감염 경로는 확인되지 않았지만, NAS 해킹은 대부분 허술한 암호나 기기 자체의 취약점에서 비롯된다.

큐스내치는 큐냅 NAS의 펌웨어를 감염시켜 시스템 권한으로 작동한다. 주요 악성 행위는 다음과 같다. 그러나 큐스내치는 모듈식 구조로 돼 있고, 해커의 C2 서버와 주기적으로 교신한다. 따라서 언제라도 악성 행위는 추가될 수 있다.

운영체제의 예약된 작업을 변조한다.
펌웨어 업데이트를 방해한다.
QNAP Malware Remover라는 내장 보안 앱이 실행되지 못하게 한다.
기기 상의 모든 사용자 이름과 암호를 C2 서버로 전송한다.

큐스내치를 제거하려면 공장 초기화(factory reset)를 해야 한다. 저장된 데이터를 모두 잃게 되는 것이다. 백업은 평소 악성코드 감염 전에 해야 한다. 감염 후의 백업은 신뢰성이 없으며, 백업 장치까지 감염될 가능성이 있다.

한편 큐냅은 2019.2월 펌웨어 업데이트에서 악성코드 감염을 방지하는 기능을 추가했는데, 이 기능이 큐스내치에 효과적으로 대응할 수 있는지는 확실치 않다.

NCSC-FI는 다음과 같은 대응책을 제시했다.
NAS에 있는 모든 계정의 암호를 바꿔라.
기기에서 알 수 없는 계정을 제거하라.
기기의 펌웨어와 설치된 앱들을 최신 버전으로 유지하라.
기기에서 알 수 없거나 사용하지 않는 앱들을 제거하라.
QNAP Malware Remover를 설치하라.
보안 수준 설정에서 접근 제어 목록(access control list)을 설정하라.

큐냅을 비롯한 모든 NAS 사용자에게는, NAS를 인터넷에 직접 노출시키지 말고 방화벽 뒤에 두라고 권고했다. 가정 사용자의 경우라면 공유기에 연결하면 되겠다(관1).

191108 추가 사항 - 초기화할 필요 없다

11.7일 큐냅은 이 문제에 대한 입장을 발표했다. 이에 따르면 큐냅은 11.1일 Malware Remover 앱을 업데이트했다. 이 최신 버전은 큐스내치 악성코드를 탐지하고 제거할 수 있다. 그리고 큐냅은 큐스내치 제거를 위해 NAS를 초기화하라고 조언한 적이 없다고 분명히 밝혔다(참2).

그 동안 애매한 입장을 취하다가 1주일이 지나서야 초기화할 필요가 없다니. 그 새에 초기화한 사용자도 있을텐데.

또한 맬웨어 리무버로 큐스내치의 감염 시도를 요격할 수는 있겠지만, 이미 감염된 경우에도 효과적으로 제거할 수 있을 지는 의문이다. 큐스내치는 시스템 업데이트와 맬웨어 리무버의 작동을 방지하는 기능이 있기 때문이다.


관련 자료

1. NAS 노리는 크립토 랜섬웨어

참고 자료

1. QSnatch Malware Infects Thousands of NAS Devices, Steals Credentials
2. Response to QSnatch Attacks: Take Actions to Secure QNAP NAS