Cloud Snooper: hackers usam driver do kernel Linux para atacar servidor em nuvem

Cloud Snooper: hackers usam driver do kernel Linux para atacar servidor em nuvemrelatório sobre um novo malware chamado Cloud Snooper, que pode comprometer a segurança de qualquer servidor Linux ou outro baseado em sistema operacional, implantando um driver de kernel.

Semanas atrás, também foi descoberta uma vulnerabilidade Sudo na maioria das distribuições Linux que permitia ao invasor obter acesso root e executar qualquer ação. Da mesma forma, os atacantes agora podem executar comandos na rede implantando o novo malware Cloud Snooper que permanece oculto.

O que é o Cloud Snooper Malware?

O Cloud Snooper é um novo ataque de malware inovador que pode estabelecer uma comunicação com o servidor de computação em nuvem ignorando o firewall. O malware reside no servidor sob a visão do administrador.

Como o Cloud Snooper Attacker infecta os servidores?

Como você deve saber que tudo no Linux é um arquivo, os hackers exploram o arquivo do driver do kernel Linux chamado “snd_floppy”. Sim, você leu certo, snd_floppy.
Você pode argumentar que não existe esse driver no Linux, e o disquete está morto há muito tempo. No entanto, snd_floppy é apenas um nome enganador que não tem nada a ver com nenhum suporte de hardware.
O nome é escolhido para adicionar semelhança com outros drivers Linux com iniciais iniciadas por “snd”, como snd_pcm, snd_hda_intel, snd_hda_codec e snd_timer.

Cloud Snooper: hackers usam driver do kernel Linux para atacar servidor em nuvem

Cloud Snooper: hackers usam driver do kernel Linux para atacar servidor em nuvem
Para espionar o servidor, o invasor usa um método de sinalização em banda no qual o script de comando oculto é adicionado aos dados regulares de tráfego de rede para executar ações prejudiciais.
O script atua como dados secretos, extraídos do tráfego da rede pelo arquivo do driver snd_floppy implantado . O invasor usa a porta de origem TCP de 16 bits para enviar o comando ignorando a detecção do firewall.

Como proteger o servidor do ataque Cloud Snooper?

A primeira coisa que você pode fazer é modificar as regras de segurança atuais de um firewall para detectar e bloquear os pacotes de uma porta de origem ilegítima.
Se o firewall ainda não conseguir restringir a entrada de um arquivo infectado, você poderá adicionar outra camada de medidas para impedir a execução do script. Você pode usar qualquer ferramenta que possa monitorar e excluir drivers de kernel não autorizados ou programas indesejados do seu servidor.

A última precaução necessária para qualquer administrador é fazer visitas e atualizações regulares às senhas raiz para impedir a execução de funções no nível raiz. Você também pode adicionar autenticação de dois fatores para uma camada adicional de segurança.
Fossbytes

FONTE: Blog SempreUpdate
Aproveito a oportunidade para renovar meus protestos de respeito e consideração aos autores da publicação original.