QNAP社のNASを狙うランサムウェア(Qlocker)について

 Qlockerが流行中

幸いにも私の家のTS-251Dは感染していないようですが、QNAPのNASを狙うランサムウェア Qlockerが流行中のようです。

色々なフォーラムの情報をみてまわってみたのですが、どうやら
・Multimedia Console、Hybrid Backup Syncが使用しているSQLの脆弱性をついて感染
・一度感染すると、7zのパスワード付き圧縮機能を使って、NAS内部のファイルを次々に暗号化していく。
という動きをしているようです。


QNAPさんから公式の案内も出ていて、それによると感染しないためには、
・ファームウェアを最新版に更新する。
・Multimedia Console、Multimedia Streaming Add-on、Hybrid Backup Syncを最新版に更新する
・Malware Removerを実行する
・webUIのポートをデフォルトの8080から変更する。
といった対応が必要なようです。


万が一感染してしまった場合は・・・?

万が一感染してしまった場合、ご自分のファイルが次々に".7z"ファイルとなっていくようなので、そのあたりの挙動から感染してしまっていることがわかるようです。
また、まだ暗号化が進行中の状態であれば、7zファイルに細工をすることで、パスワード付き圧縮処理の「パスワード」を入手することができるようです。

その方法は、こちらのサイトに書かれており、下記コマンドを実行するとのことです。


要するに、
#!/bin/sh
echo $@
echo $@ >> /mnt/HDA_ROOT/7z.log
nsleep 60000
という内容の7z.shスクリプトを作成。実行権を追加したのち、オリジナルの7zファイルと差し替える。
差し替えられたのちの7zコマンドは、実行された時の引数をすべて7z.logファイルに保存する。(かつ、nsleepが入っているので、暗号化処理を遅らせることができる??)
※通常、コマンドを実行するときには、
 7z filename -p パスワード
 という形でパスワードを設定するので、ランサムウェアが7z圧縮時に指定しているパスワードを取得してやろう。というアプローチですね。

この方法でQlockerが7zコマンドを実行する際に使用しているパスワードがわかれば、すでに圧縮されてしまったファイルもそのパスワードで解凍できそうです。

万が一にも感染してしまった場合は、落ち着いて、こちらの内容を試されるといいかと思います。

将来的にありそうなこと

今回は、7zという外部コマンドを実行しているようなので、このような方法でパスワードを入手することができそうですが、将来的にはランサムウェア自身が7z圧縮ルーチン自体を内包してしまう可能性があります。このような場合は、今回のようにパスワードを入手することはできません。
とはいえ、おそらく7zのライブラリをリンクする形でランサムウェアのバイナリとなるはずなので、objdumpや、hexdumpを使って、バイナリ内部で7zの圧縮関数を呼び出している部分の引数を確認する、といったような方法で、解凍用のパスワードを入手することはできそうかな・・・?と思います。
また、バイナリをリンクするような形になれば、逆にポータビリティ(感染力)は落ちるかと思います。すなわち、ARM機種でしか動作しないようになる。とか、そういうこと。

他社のNASは安全なのか??

今回、たまたまQNAPのNASが狙われたものと推測します。
やはり、ワールドワイドで見てもシェア(実稼働台数)が多いですので、開発した方法で、より多くの機種を攻撃できる可能性がある。という攻撃者にとっては美味しい状況があります。
これが、日本国内のNASベンダーであるバッファロー、アイ・オー・データ、エレコムや、同じく海外勢のNASとして有名なSynologyだと、稼働台数も知れているので、狙っても仕方がない。という事情があるのでしょう。

また、過去には日立さんもWindows PCがWannacryの被害にあってますので「Windowsなら安心」ということもなさそうです。


結局のところ

やはり重要なのは、
・万一に備えてバックアップを取っておく
・ファームウェア、OS、アプリケーションは、常に最新バージョンを使用する
といった普段の対策を行っていくことが重要なのだと考えます。

感染してしまい、ヘルプが必要な方

もし、感染してしまってヘルプが必要そうでしたら、Twitterなどでご連絡いただければ、何等かアドバイスできるかもしれません。
お気軽にご連絡ください。
場所: 日本、東京都東京

コメント

コメントを投稿

このブログの人気の投稿

VPNでNASにリモートアクセス!QTS5.0でWireGuardを試す

イメージ
 QNAPのQTS5.0 betaが公開されており、その中でWire Guardが使用できる旨案内されています。 WireGuardはカーネルレベルでサポートされるVPN接続であり、非常に軽量と評価されています。 今回は、QTS 5.0にWire GuardでVPN接続する方法について、早速まとめていきたいと思います。 手順としては、  1. NAS側のWireGuard VPNサーバー設定  2. Windowsクライアント側のWireGuard クライアント設定  3. NASに戻って、WireGuard VPNサーバーに、2で設定したクライアント情報を設定 という手順になります。 VPN暗号化なし、WireGuard VPN接続、QBelt VPN接続でパフォーマンス比較も行っちゃいます。 それでは、Let's try! まずはじめに なにはなくとも、QTS5.0にアップデートできなければWireGuardが使えません。 私のTS-251Dでは「コントロールパネル」→「ファームウェア更新」で、 「ベータプログラムに参加し、ベータアップデート通知を受け取ります」を有効にすることで、5.0 betaにライブ更新できました。 QVPN Service 3.0のインストールと設定 QTS 5.0にアップデートすると、QVPN Service 3.0がインストールできるようになっていますので、AppCenterからインストール / 更新します。 QVPN Service 3.0にアップデートすると、下記のようにWireGuardでの接続が選べるようになっています。 WireGuardの画面に移ったあと、まずはWireGuardを有効にし、サーバー側の設定を行っていきます。  1. Server nameを入力した後  2.「Generate Keypairs」のボタンを押して  3. DNSサーバを8.8.8.8(google)に設定 まずはここまででOKで、クライアント側の設定に入ります。 Wire Guardクライアントのインストールと設定 従来、QVPNサーバーに接続する場合、QVPNクライアントから接続できましたが、Wire Guardで接続する場合は、Wire Guard クライアントから接続する必要があるようです。 ですので、下記ページよりWire
続きを読む

レトロゲームステーションに!QNAP TS-251D

イメージ
みなさんは、ゲームは好きですか? 僕はゲーム大好きで、ファミコンからガッツリやってました。多分、最初にやったゲームは、マリオブラザースかな?土管からカメとかカニとか出てくる方のやつです。 そのあとはスーファミ、ゲームボーイ、メガドライブ、ゲームギア、プレステ、プレステ2、プレステ4と遊び倒しました。プレステ5も欲しいんですが、まだ買えてませんw。というよりもレトロゲームのほうが実は好きかも。 こういった昔遊んだゲーム、今はそもそもハードがなくてプレイできなかったりするんですよね。でもたまに遊びたくなる。そんな時に、QNAPのNASがあればレトロゲームを遊ぶことができるんです! QNAP TS-251D QNAPのTS-251DはHDMI出力機能を持つNASです。ザックリスペックは下記のような感じ。詳細は、 メーカーHP 確認してください。 CPU : Intel® Celeron® J4025/4005デュアルコア2.0 GHzプロセッサ メモリ:最大8GB ドライブベイ数:2 Ethernet:1 x 1GbE HDMI:1ポート(HDMI 2.0) 私の場合は、元々2GBメモリのモデルを購入しメモリを増設、8GBにして使っています。 NASとはいうものの、様々なアプリケーションの追加に対応しているのが特徴で、HTTPサーバーと組み合わせてワードプレスサーバーを作りことができたり、写真管理ができたりと、ホームサーバーとしてガッツリ使うことができます。 また、RAID1によるデータ保護、スナップショットによる過去ファイルへのリバート機能、Maware Remover、Firewallといったデータ保護、セキュリティ機能も充実しています。 3rdパーティアプリケーションの追加 さて、QNAPのNASですが、本家本元が用意するアプリケーションが追加・削除ができるのはもちろんのこと、実はコミュニティが作ったアプリケーションを追加・削除することもできます。 コミュニティのアプリケーションを追加するには、コミュニティアプリを公開しているレポジトリを追加登録する必要があります。 僕が大好きなレトロゲームを楽しむためには、RetroArchというアプリケーションを追加する必要があります。 このアプリのQNAP向けパッケージが、QNAP CLUBから提供されているので、QNAP C
続きを読む

NASに保存したファイルを便利に検索する方法

イメージ
 NASに保存したファイルを便利に検索する方法 保存したファイルを検索する方法 ファイルがどんどん増えてくると、どこにどういったファイルを保存したか?といったことをついつい忘れてしまうことがあります。Windows PCの中に保存したのであれば、エクスプローラーの検索窓から簡単に検索することができます。写真が1個しか引っかかってこなかったですが、こんな感じですね。 でもこの検索、NASの上で実行しようとすると、途端に検索結果を出すのに時間がかかるようになります。Windowsの方では検索をする前にあらかじめ「Index」が作られているんですね。で、実際に検索をする場合はそのIndexを参照して結果を表示するだけなので非常に高速に検索結果が表示される。 でも、NASのファイルに対してはWindowsは「あらかじめIndexを作っておく」ということをしておらず、ファイルを1つ1つ確認しだすので時間がかかってしまいます。 では、NASに保存したファイルを高速に検索するにはどうしたらいいんでしょう? QSirch QNAPのNASを使用している場合は、QSirchというアプリケーションをインストールすることができます。QSirchというアプリを使うことでNAS上のファイルも簡単に検索することができるようになります。 また、このQSirch、 2021年末まではPremiumプランを無料で試す ことができるようです。 これはもう、試してみるっきゃありませんね。ということで早速試してみました。 Qsirchのインストール 私はもうインストール済みなので、下記画面になってしまっていますが、QTSのAppCenterからQSirchと検索ワードを入れてあげることで、簡単にアプリを見つけることができます。(QNAPらしく(?)通常の「Search」ではなく、「Sirch」となっている点注意が必要です) 未インストールの状態であれば「開く」ではなく「インストール」となっているはずですので、クリックしてインストールします。 新しいアプリの追加が必要ですが、いつもながら非常に簡単ですね。 QSirchライセンスの適用 ライセンスの購入、適用は、myQnapCloudにIDを連携させたうえで実行すると非常に簡単です。ここでは説明しませんが、myQnapCloudにID連携させておくことをお勧
続きを読む