Notícias

Cloud Snooper: hackers usam driver do kernel Linux para atacar servidor em nuvem

Claylson Martins
Linux 5.6 recebe primeira atualização e está pronto para adoção em massa

Se você é um usuário do Linux ou não, deve ter ouvido a palavra da moda sobre o Linux – “Melhor sistema operacional para segurança”. Bem, é verdade, porém, sendo um programa de computador, o Linux também tem algumas desvantagens que desafiam sua segurança. Falando sobre os riscos à segurança, recentemente, a SophosLab publicou um relatório sobre um novo malware chamado Cloud Snooper, que pode comprometer a segurança de qualquer servidor Linux ou outro baseado em sistema operacional, implantando um driver de kernel.

Tabela de conteúdo
O que é o Cloud Snooper Malware?Como o Cloud Snooper Attacker infecta os servidores?Cloud Snooper: hackers usam driver do kernel Linux para atacar servidor em nuvemComo proteger o servidor do ataque Cloud Snooper?
Semanas atrás, também foi descoberta uma vulnerabilidade Sudo na maioria das distribuições Linux que permitia ao invasor obter acesso root e executar qualquer ação. Da mesma forma, os atacantes agora podem executar comandos na rede implantando o novo malware Cloud Snooper que permanece oculto.

O que é o Cloud Snooper Malware?

O Cloud Snooper é um novo ataque de malware inovador que pode estabelecer uma comunicação com o servidor de computação em nuvem ignorando o firewall. O malware reside no servidor sob a visão do administrador.

Como o Cloud Snooper Attacker infecta os servidores?

Como você deve saber que tudo no Linux é um arquivo, os hackers exploram o arquivo do driver do kernel Linux chamado “snd_floppy”. Sim, você leu certo, snd_floppy.

Você pode argumentar que não existe esse driver no Linux, e o disquete está morto há muito tempo. No entanto, snd_floppy é apenas um nome enganador que não tem nada a ver com nenhum suporte de hardware.

O nome é escolhido para adicionar semelhança com outros drivers Linux com iniciais iniciadas por “snd”, como snd_pcm, snd_hda_intel, snd_hda_codec e snd_timer.

Cloud Snooper: hackers usam driver do kernel Linux para atacar servidor em nuvem

Para espionar o servidor, o invasor usa um método de sinalização em banda no qual o script de comando oculto é adicionado aos dados regulares de tráfego de rede para executar ações prejudiciais.

O script atua como dados secretos, extraídos do tráfego da rede pelo arquivo do driver snd_floppy implantado . O invasor usa a porta de origem TCP de 16 bits para enviar o comando ignorando a detecção do firewall.

Como proteger o servidor do ataque Cloud Snooper?

A primeira coisa que você pode fazer é modificar as regras de segurança atuais de um firewall para detectar e bloquear os pacotes de uma porta de origem ilegítima.

Se o firewall ainda não conseguir restringir a entrada de um arquivo infectado, você poderá adicionar outra camada de medidas para impedir a execução do script. Você pode usar qualquer ferramenta que possa monitorar e excluir drivers de kernel não autorizados ou programas indesejados do seu servidor.

A última precaução necessária para qualquer administrador é fazer visitas e atualizações regulares às senhas raiz para impedir a execução de funções no nível raiz. Você também pode adicionar autenticação de dois fatores para uma camada adicional de segurança.
Fossbytes
Share This Article
Por Claylson Martins
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.
Sair da versão mobile