幸尚IDC在同时运行linux和windows的云服务器上发现了一种新的apt恶意软件:cloud snooper,它可以在本地和云服务器中规避传统的防火墙安全技术。
一、cloud snooper绕过传统防火墙
为了逃避防火墙而进行的网络攻击隧道建设并不是什么新鲜事,但是cloud snooper的突出特点是恶意软件能够通过复杂的请求伪造来逃避传统的防火墙。使用本地数据包重组将流量从已知服务端口(tcp 80/443)重定向到命令并控制客户端的服务端口。这不是经常能看到的。使用请求标头中的源端口来触发远程访问工具箱客户端中的特定预建操作也是如此。
二、windows/linux均难以幸免
cloud snooper apt是专门为在大多数公共云服务器所代表的混合os环境中蓬勃发展而编写的,这使任何使用云服务器的企业在线业务都不安全。该恶意软件是多平台的,它通过在暴露的ssh端口上似乎是字典攻击而设法渗透到linux系统。与典型的恶意软件行为相比,这是一个明显的变化。以往由于用户桌面的安装量很大,针对基于windows的计算机上进行攻击是常态。
这种策略上的转变表明,公共云服务器已经成为攻击者的狩猎场。在已知公共ip范围的情况下,连续扫描整个公共云提供商的外部足迹并针对已知服务端口发起自动攻击非常容易。
三、如何保护您的工作负载免受cloud snooper apt攻击
那么,您如何才能保护自己免受cloud snooper和公共云服务器中类似恶意软件的侵害?请遵循我们的六点检查清单来防止这种最新的攻击类型。
1、在工作负载上部署特定于服务器的反恶意软件
确保将端点安全性措施部署在任何基于服务器的工作负载上均等于确保其运行安全。cloud snooper恶意软件很好地说明了为什么您需要对工作负载本身具有可见性和强制性,例如,windows系统上基于驱动程序的利用就可以完全未被发现。linux机器也是如此。仅凭名称(“snd_floppy”)来确定内核模块是否为恶意是非常困难的,尤其是在规模上。为了定罪这些类型的恶意软件,分析其行为以确定其意图非常重要。
2、设置流程白名单
应该给出有关云服务器工作负载的流程白名单。由于您确切知道需要特定实例执行的操作,因此最好将工作负载完成任务所需的流程之外的任何流程都视为多余的,而在最坏的情况下则应视为可疑的。您可以采用服务器锁定之类的自动化流程白名单解决方案,并阻止命令和控制客户端首先执行。
3、通过深度数据包检查扩展安全组
传统的防火墙无法与当今的现代威胁环境相提并论。随着越来越多的攻击者将其通信封装在tls中,几乎任何协议都可以通过几乎任何开放端口进行隧道传输,因此,第一道防线需要了解其中的实际内容。检测和阻止逃避攻击,例如cloud snooper所采用的攻击。
4、为远程访问启用安全连接和强大的身份验证
基于密码的身份验证根本不足以保护通过ssh、rdp等协议的面向外部的远程访问。最佳做法是,例如,仅通过vpn连接启用这些端口,就不要公开这些端口。但是,如果必须公开启用远程访问,请确保至少使用证书、令牌或两者的组合来设置某种形式的多因素身份验证。例如,使用内置的基于totp的多因素身份验证,并通过安全的用户门户与html5无客户端vpn结合使用。
5、使用云安全状态管理解决方案
您需要洞悉公共云服务器中资产的安全状况。拥有主机和安全组的清单有助于在攻击者利用潜在的不安全配置之前发现它们。通过流量图直观地映射云服务器中的基础架构,发现主机之间的流量异常并询问安全组设置,以确定它们是否确实在帮助您保护自己的安全。除此之外,了解您的环境的流量基准,如果攻击者突然在未使用的端口上引起活动(或在先前处于休眠或使用较少的端口上产生更多的流量),可能导致潜在的安全风险。
6、设置补丁程序管理
虽然尚不清楚cloud snooper如何渗透到原始主机,但任何机器(虚拟或物理)的常见最佳做法是及时部署补丁程序和修补程序,以防止已知的漏洞被攻击者利用。毕竟,预防比治疗更加重要。
但是,云服务器中的挑战是要按规模和按云计算的步伐来做到这一点,这就是为什么所有主要云供应商都拥有某种形式的cmdb或补丁管理解决方案与他们的平台集成的原因。
