Cloud Snooper防火墙旁路可能是国家国家的工作
Next-Gen Security Seophos揭示了一个已知为Cloud Snooper的复杂新攻击的细节,这使得服务器上的恶意软件能够通过其命令和控制(C2)服务器通过其受害者的防火墙进行自由沟通,并且可能由一个国家开发国家演员。
Sophoslabs威胁研究经理Sergei Shevchenko发现了攻击技术,同时调查一些AWS托管云服务器的恶意软件感染。但是,它不是一个特定于AWS特定的攻击,而是代表了一种捎带C2流量的方法,以获得防火墙和exfiltrate数据。
Cloud Snooper使用三个主要策略,技术和程序(TTP)。这些包括rootkit来规避防火墙,这是一种难以获取服务器的罕见技术,同时伪装成合法性的交通 - 基本上是羊皮的狼 - 以及在Windows和Linux系统之间共享恶意代码的狼。这些元素中的每一个都以前见过,但从不过几次。
“这是我们第一次看到一个攻击公式,这些攻击公式将绕过技术与针对Windows和Linux系统的多平台有效载荷相结合,”Shevchenko说。
“IT安全团队和网络管理员需要勤勉地修补所有面向外部服务,以防止攻击者逃避云和防火墙安全策略。
“IT安全团队还需要防止多平台攻击。到目前为止,基于Windows的资产已经是典型的目标,但攻击者更频繁地考虑Linux系统,因为云服务已成为流行的狩猎场地。在更多网络罪犯采用这些技术之前,这是一项时间问题。“
雪佛考介绍了攻击的复杂性和定制的先进持久威胁(APT)工具包强烈建议恶意软件及其运营商高度先进,可能被国家演员支持。
他补充说,这是可能的,实际上很可能,TTP的特定包将涓涓细流“到较低的梯级”的网络犯罪层次结构,并最终形成广泛防火墙绕过攻击的蓝图。
“这种情况极为有趣,因为它展示了现代攻击的真正的多平台性质,”雪拔科尔说。
“融资的融资,有能力的攻击者将不可能受到不同平台所施加的界限的限制 - 建立一个统一的服务器基础架构,该基础设施为在不同平台上工作的各种代理商提供完美的意义,”他补充道。
雪佛考科表示,在防止这种或类似的攻击方面,虽然AWS安全组(SGS)为EC2实例提供了一个强大的边界防火墙,但它本身不会删除网络管理员的需要全面地修补他们所有的外观服务。
他补充说,SSH服务器的默认安装也需要额外的步骤来硬化它,“将其转化为摇滚固态通信守护程序”。
Sophos共享一些步骤,主动管理员应采取。这些包括创建所有网络连接设备的完整库存并保持其安全软件更新;完全修补以上和超出亚马逊或您的云服务的外观服务可能提供;检查并仔细检查所有云配置;在安全仪表板或控制面板上启用多因素身份验证,以阻止攻击者禁用您的防御,或者至少使其更加困难。