Se você é um usuário do Linux ou não, deve ter ouvido a palavra da moda sobre o Linux – “Melhor sistema operacional para segurança”. Bem, é verdade, porém, sendo um programa de computador, o Linux também tem algumas desvantagens que desafiam sua segurança. Falando sobre os riscos à segurança, recentemente, a SophosLab publicou um relatório sobre um novo malware chamado Cloud Snooper, que pode comprometer a segurança de qualquer servidor Linux ou outro baseado em sistema operacional, implantando um driver de kernel.
O que é o Cloud Snooper Malware?
O Cloud Snooper é um novo ataque de malware inovador que pode estabelecer uma comunicação com o servidor de computação em nuvem ignorando o firewall. O malware reside no servidor sob a visão do administrador.
Como o Cloud Snooper Attacker infecta os servidores?
Como você deve saber que tudo no Linux é um arquivo, os hackers exploram o arquivo do driver do kernel Linux chamado “snd_floppy”. Sim, você leu certo, snd_floppy.
Você pode argumentar que não existe esse driver no Linux, e o disquete está morto há muito tempo. No entanto, snd_floppy é apenas um nome enganador que não tem nada a ver com nenhum suporte de hardware.
O nome é escolhido para adicionar semelhança com outros drivers Linux com iniciais iniciadas por “snd”, como snd_pcm, snd_hda_intel, snd_hda_codec e snd_timer.
Notícias Relacionadas
Cloud Snooper: hackers usam driver do kernel Linux para atacar servidor em nuvem
Para espionar o servidor, o invasor usa um método de sinalização em banda no qual o script de comando oculto é adicionado aos dados regulares de tráfego de rede para executar ações prejudiciais.
O script atua como dados secretos, extraídos do tráfego da rede pelo arquivo do driver snd_floppy implantado . O invasor usa a porta de origem TCP de 16 bits para enviar o comando ignorando a detecção do firewall.
Como proteger o servidor do ataque Cloud Snooper?
A primeira coisa que você pode fazer é modificar as regras de segurança atuais de um firewall para detectar e bloquear os pacotes de uma porta de origem ilegítima.
Se o firewall ainda não conseguir restringir a entrada de um arquivo infectado, você poderá adicionar outra camada de medidas para impedir a execução do script. Você pode usar qualquer ferramenta que possa monitorar e excluir drivers de kernel não autorizados ou programas indesejados do seu servidor.
