A Sophos publicou no dia 25/02/2020, um relatório onde descreve a descoberta de um malware que usa técnicas sofisticadas para fazer “bypass”, ou seja, passar através de regras de firewall.

A SophosLabs chamou esse malware de Cloud Snooper, porque foi descoberto em uma instância na nuvem, mas segundo os pesquisadores não se limita somente a nuvem, pois também pode afetar servidores e firewall na infra-estrutura de TI.

Segundo a SophosLabs, a equipe começou a investigar quando percebeu dois servidores web, um Linux e outro Windows, “infectado” em instância EC2 AWS.

O que chamou a atenção dos pesquisadores foi o fato de que o firewall (Security Groups da AWS) estava permitindo somente conexão HTTP e HTTPS para os servidores, mas estranhamente havia um serviço em execução (listen) nas portas 2080 e 2053.

Analisando com mais detalhes, os pesquisadores perceberam que havia um rootkit comunicando-se com um backdoor, através de requisições HTTP/HTTPS normais.

Os pesquisadores da Sophos observaram que o ataque enviava requisições HTTP normais para o servidor infectado, mas com comando de controle, então ocorria tráfego normal HTTP/HTTPS de retorno, sem ser bloqueado pelo firewall.

No relatório detalhado a Sophos relata que o rootkit “reconstrói” os comandos para o backdoor. O rootkit então comunica-se com um servidor do atacante através de HTTP/HTTPS e ativa o “commando-and-control” (C&C) para ser controlado.

Outro fato que chamou atenção é que o malware Cloud Snooper é multiplaforma, então o mesmo malware infecta Windows e Linux.

Como se defender de um ataque de Cloud Snooper?

Para combater ataques como o Cloud Snooper, as equipes de segurança de TI precisam ter visibilidade dos eventos que estão ocorrendo nos servidores em tempo real.Assim isso conseguir identificar eventos relevantes e anomalias, para que possam agir proativamente. Além de implementar uma robusta gestão de updates e uma consistente gestão de vulnerabilidades, principalmente em servidores.

Para ler o relatório detalhado acesse o link:

Fonte da imagem: Sophos