Qihoo 360 Technology(奇虎360)社がQNAP製NASに対して不正なリモートコマンドを実行する脆弱性(CVE-2020-2506およびCVE-2020-2507)を利用して暗号通貨Moneroのマイニング攻撃を受けているとの指摘がありました。
すでにQNAP社に対して連絡をされたようですが、本日(2021/3/9)現在、QNAP社からのアナウンスはありません。
犯罪者がマイニングプロセスと実際のCPUメモリリソースの使用情報を非表示にしてプログラムをカスタマイズしているために、QNAPユーザーがWEB管理インターフェイスを介してシステムの使用状況を確認しても、システムの異常な動作を確認できません。
マイニングプログラムは、unity_install.sh、Quick.tar.gzをダウンロードして、インストールします。manaRequest.cgiで開始をして、そのデバイスでプログラムを乗っ取るために使用されます。
開始されたあとにXMRig(暗号通貨Moneroのマイニングプログラム)をダウンロードします。
各プログラムの概要は次の通りです。
unity_install.sh
1)ユニティプロセスが存在するかどうかを確認し、存在する場合は強制終了します
2)デバイスのCPUアーキテクチャを確認し、対応するアーキテクチャのマイニングキットをダウンロードします。現在、ARM64とAMD64のみをサポートしています。
3)config.jsonはCPUコアの数に基づいてマイニングパラメータを設定します。プログラムは、マイニングにコアの半分のみを使用するようにします。
4)マイニングプログラムを解凍し、cronを設定して、マイニングスクリプトstart.shを実行します(1分に1回、時間間隔は直接に設定されます)。
start.sh
1)ユニティプロセスをチェックし、存在しない場合は開始します。
2)システムファイル「/home/httpd/cgi-bin/management/manaRequest.cgi」を変更します。これにより、NASのシステム情報を表示させないようにします。
3)「/home/httpd/cgi-bin/management/」ディレクトリ内において、「manaRequest.cgi」から「Quick.tar.gz」に変更して同じ名前を持つシステムファイルを置き換えます。
config.json
独自のプロキシを使用するために実際のXMRウォレットは表示されません。マイニング構成には3つのグループがあり、ユーザーは「xmr2」、パスは「x」、プロキシは「aquamangts.tk:12933」「a.aquamangts.tk:12933」「b.aquamangts.tk:12933」です。
manaRequest.cgi
1)HTTPリクエストを受信した後、最初にシステムにユニティマイニングプロセスがあるかどうかを検出して、ない場合には、HTTPリクエストを同じ名前のシステムファイル「manaRequests.cgi」にして直接転送して乗っ取ります。
2)ユニティマイニングプロセスがシステムにある場合には、HTTPリクエストを同じ名前のシステムファイルに転送して、.log.logを実行した後、次の処理をして実行結果をファイルのログに記録します。
CPUステータスデータから50を引きます。
実行結果からユニティプロセス情報を削除します。
これにより、NASのユーザーが使用状況を確認しても正常と思われるCPU使用率と温度が表示され、すべてのシステムプロセスが正常に見えます。
対応策
今後QNAP社からアナウンスがありましたら、ファームウェアの確認と更新をする必要があります。
