qsnatch.... es trifft leider nicht nur die anderen...

[Joogibaer]

Nicht das wir uns falsch verstehen... Ich fahre seit Jahren 2 mal täglich ein Backup auf eine Synology in einem anderen Haus...
Also eine Backup Strategie liegt schon vor. Ja es stimmt, es ist viel Schnick schnack im Haus, da bin ich bei dir.
Ich besorge mir die meisten Daten auch nur über VPN, aber einige Lösungen gingen bisher nicht anders, bzw. ja man war zu faul es umzusetzen. Mail etc. läuft über outgescourcte Anbieter... Daher bin ich ja ehrlich gesagt wirklich überrascht gewesen das es passiert. Aber sicherlich auch selber schuld, da ichvieles nutze was nicht sein muss.

Sicherlich können es viele Geräte im Haus sein, das mag sein. Mich irritiert nur mein Nachbar, selbe Fehlermeldung und nicht so viele Geräte...., halt aber die Synology...

Daher halt die Vermutung... Ich bin gespannt was die Jungs von Synology sagen wenn sie mit meiner Kiste durch sind, die scheinen sich dessen ja anzunehmen...

 

[ottosykora]

gibt es irgendeine konkrete Information darüber dass qsnatch auf etwas anderem läuft als qnap NAS?

 

[blurrrr]

Hab ich vorhin schon kurz gecheckt und nix gefunden, von daher gehe ich mal nicht davon aus. Ich würde es auch nicht mehr qsnatch nennen und auch ISP/BSI machen es nur anhand von Erkennungsmustern fest. Nur weil mitunter die gleichen CC-Server von und über die gleichen Ports angesprochen werden, muss es kein qsnatch sein (aber vermutlich aus gleicher Schmiede).

 

[Joogibaer]

Ich wäre ja froh wenn wir am Ende sagen, MENSCH es ist der Kühlschrank Aber da ist immer noch mein Nachbar, der halt nur die Syno hat....

 

[blurrrr]

Vor falschen Rückschlüssen kann ich nur eindringlich warnen! Das ist halt wie "Ups, der Kühlschrank ist kaputt und in China ist grade ein Sack Reis umgefallen, da ist bestimmt jetzt der Sack Reis Schuld, dass der Kühlschrank nicht mehr geht". Da "muss" das eine nichts mit dem anderen zu tun haben, kann, aber muss nicht. Vielleicht habt ihr beiden auch nur die gleichen Handy-Apps, oder den gleichen Kühlschrankhersteller, oder beide Kinder, die die gleichen Webseiten besuchen, weiss der Geier. Möglichkeiten gibt es halt viele... Eine andere wäre: Smarthome telefoniert nach Hause und DORT auf dem Server liegt die Malware die sich grade via Auto-Update auf die Smarthome-Geschichten lädt. Kann man also drehen und wenden wie man will... der Syno-Support wird halt einen Systemcheck machen und nach Auffälligkeiten suchen, aber vermutlich keinen Paketmitschnitt von ein paar Tagen...

 

[Samhain]

... interessant wird es, wenn der Syno Support nichts findet. Denn dann geht die Suche weiter und dann wird's strange
... ich tippe auf einen Fehlalarm durch das BSI ... das wäre sicherlich nicht das erste Mal ...
... wie wäre die Variante mal das BSI anzusprechen. DIE haben doch was gefunden und sollten sich erklären können

 

[ottosykora]

ich finde auch, wenn eine Behörde was findet, soll sie auch inder Lage sein zu sagen was genau und zu der Aussage dann auch stehen.
Mit dem ISP der nicht kann, nicht will, aber irgendetwas übermittelt was nicht nachprüfbar ist, das ist sehr unproduktiv.

 

[blurrrr]

Fällt mir ja manchmal auch recht schwer (wie ja bekannt sein dürfte), aber... richtig lesen hilft:

"Heute morgen erhielt ich eine Email vom Telefonanbieter, BSi hätte Auffälligkeiten festgestellt, Meldung qsnatch..."

Festgemacht wird sowas logischerweise an bestimmten Verhaltensmustern (z.B. bestimmte CC-Server über bestimmte Ports ansprechen, etc.), mehr dazu gibt es hier direkt vom BSI (allerdings nur allgemeiner Natur und nicht qsnatch-spezifisch).

 

[peterhoffmann]

direkt vom BSI

Ich zitiere mal von dort:

Die von den Sinkhole-Betreibern gelieferten Daten enthalten üblicherweise zu jedem protokollierten Zugriff einen Zeitstempel, die Quell-IP-Adresse, den aufgerufenen schädlichen Domainnamen und eine Bezeichnung des damit verbundenen Schadprogramms, welches den Domainnamen für die Kontaktaufnahme zu einem Kontrollserver verwendet. Häufig sind auch die IP-Adresse der Sinkhole sowie die Quell- und Ziel-Portnummern der Verbindung in den Daten enthalten.

Ich verstehe, dass man seitens vom BSI keine weiteren Infos hat, da ja nur der Zugriff als Info vorhanden ist. Der Zugriff selber ist meist spezifisch und kann damit einem Schadcode zugeordnet werden.
Hier ist es natürlich merkwürdig, da es qsnatch sein soll, aber der Nutzer kein QNAP-Gerät besitzt. Nur aufgrund der Eigenschaft (NAS) nun auf das Synology-Gerät zu schließen, halte ich für falsch.
Für mich sind daher alle Geräte im Netzwerk gleich stark verdächtig bzw. unverdächtig.
All das macht es natürlich nicht leichter den Störer zu ermitteln.

Genug Ansätze, z.B. das Mitschneiden vom Traffic über die Fritzbox, sind genannt worden. Nun müssen sie nur noch umgesetzt werden. Die Fritzbox bietet da auch genug Spielraum, da man u.a. auch nach Schnittstellen selektieren kann.

Andere (leichtere!) Lösungsansätze habe ich im Moment nicht.

 

[geimist]

Hier ist es natürlich merkwürdig, da es qsnatch sein soll, aber der Nutzer kein QNAP-Gerät besitzt. Nur aufgrund der Eigenschaft (NAS) nun auf das Synology-Gerät zu schließen, halte ich für falsch.

Ich kenne die Funktionsweise von qnsatch nicht, aber ich könnte mir vorstellen, dass es für schlechte Menschen leichter ist, diese Bösware für Synology zu modifizieren, als etwas gänzlich neues zu kreieren. Die Verhaltensweisen wären in diesem Fall wohl ähnlich. Um so interessanter ist es aus meiner Sicht, diesem Fall auf den Grund zu gehen.

 

[Joogibaer]

... interessant wird es, wenn der Syno Support nichts findet. Denn dann geht die Suche weiter und dann wird's strange
... ich tippe auf einen Fehlalarm durch das BSI ... das wäre sicherlich nicht das erste Mal ...
... wie wäre die Variante mal das BSI anzusprechen. DIE haben doch was gefunden und sollten sich erklären können

Genauso ist es gekommen:


Thank you for contacting Synology support.


I have run some commands to check the NAS and also the security advisor did not report any malware.


It could confirm the NAS system partition is normal.


For the storage partition, I also check the 2 volumes but cannot find any encrypted files.


According to this message, "qsnatch: qsnatch @93.127.233.223", it seems the issue is on the IP "93.127.233.233".


This Synology NAS external IP address is "93.127.226.234", not exactly the same IP.





There is another possibility that the infected device is another device, e.g. Windows PC or QNAP NAS.


The "qsnatch" is actually the ransomware to infect the QNAP NAS.


https://www.qnap.com/zh-tw/security-advisory/nas-201911-01


You could check the other devices and if other devices have been infected, please disconnect them from the NAS to prevent further infection.





Hope this helps.


Take care and have a good day,
Technical Support


Devin Wu

 

[Puppetmaster]

Naja, verschlüsselte Files wird man wohl auch eher nicht finden, denn so arbeitet der Virus ja offenbar nicht. Und dass die öffentliche IP sich ändern kann, dass ist dem Spezialisten wohl auch nicht bekannt.

Ich finde es nach wie vor sehr mysteriös. Auch bin ich noch nicht überzeugt, dass a) die DS infiziert ist, oder überhaupt ein Gerät in deinem Netz. Aber das lässt sich aus der Ferne noch weitaus schwerer beurteilen als vor Ort.

 

[Joogibaer]

Ich schätze deine Beiträge seit meinem ersten Problem hier und hoffe so sehr, dass du auch hier wieder recht hast....

Allerdings ist es reine Spekulation

 

[Puppetmaster]

Danke für die Blumen, aber ich tappe hier auch vollkommen im Dunklen. Die ganze Kiste ist höchst merkwürdig. Alleine schon, dass ausgerechnet dein Nachbar auch betroffen sein soll. Das wäre schon ein großer Zufall.
Was euch aber offenbar eint ist der Internet-Anbieter bei dem ihr beide Kunde seid.

 

[Joogibaer]

Ja, das ist ja das verrückte...

 

[AndiHeitzer]

Ich werfe mal noch eine Schnappsidee in den Raum ...
Dein ISP will Dich und Deinen Nachbarn evtl. los werden?
Und das macht er, indem er eine Gefährdung seines Netzes von euren Anschlüssen aus auf's Tablett bringt?
Da würde es schon Sinn machen, keine Unterstützung anzubieten.

Ich hab schon Pferde kotzen sehen, halte es aber nicht für depperten Blödsinn, das der ISP sowas in die Welt setzt.

 

[Joogibaer]

Braver Zahler und komplett unauffäliig... Ist ein regionaler ANbieter der Monopol hat hinsichtlich Glasfaser hier auf dem Land, schliesse ich mal aus

 

[AndiHeitzer]

War auch nur ne Schnappsidee ...

 

[Joogibaer]

Weiß ich doch

 

[maulsim]

Andere Schnaps Idee wäre DS Lite und es hängen noch mehr Leute auf der IPv4?