Cloud Snooper: Tin tặc sử dụng trình điều khiển hạt nhân Linux để tấn công máy chủ đám mây

Bạn có phải là người dùng Linux hay không, chắc hẳn bạn đã nghe thấy từ thông dụng về hệ điều hành tốt nhất cho Linux – Linux. Vâng, đó là sự thật, nhưng là một chương trình máy tính, Linux cũng có một số nhược điểm thách thức tính bảo mật của nó.

Nói về những rủi ro bảo mật, gần đây, SophosLab đã xuất bản một báo cáo về một phần mềm độc hại mới có tên Cloud Snooper, có thể làm tổn hại đến bảo mật của bất kỳ máy chủ Linux hoặc hệ điều hành nào khác bằng cách triển khai trình điều khiển hạt nhân.

Vài tuần trước, một lỗ hổng Sudo cũng đã được phát hiện trên hầu hết các bản phân phối Linux cho phép kẻ tấn công có được quyền truy cập root và thực hiện bất kỳ hành động nào.

Tương tự, những kẻ tấn công giờ đây có thể thực thi các lệnh trên mạng bằng cách triển khai phần mềm độc hại Cloud Snooper mới vẫn bị ẩn.

Phần mềm độc hại Cloud Snooper là gì?

Cloud Snooper là một cuộc tấn công phần mềm độc hại cải tiến mới có thể thiết lập giao tiếp với máy chủ điện toán đám mây bằng cách vượt qua tường lửa. Phần mềm độc hại nằm trên máy chủ bên dưới tầm nhìn của quản trị viên.

Cloud Snooper Attacker lây nhiễm các máy chủ như thế nào?

Như bạn có thể biết rằng mọi thứ trên Linux là một tệp, do đó, tin tặc khai thác tệp trình điều khiển hạt nhân Linux có tên là snd_floppy. Có, bạn đọc nó đúng, snd_floppy.

Bạn có thể lập luận rằng không có trình điều khiển như vậy trong Linux và đĩa mềm đã chết cách đây nhiều năm. Nhưng snd_floppy chỉ là một tên lừa mà không liên quan gì đến bất kỳ hỗ trợ phần cứng nào.

đạo đức-hack-khóa-vuông-quảng cáo

Tên được chọn để thêm sự tương đồng với các trình điều khiển Linux khác có chữ cái đầu bắt đầu bằng phần mềm snd, chẳng hạn như snd_pcm, snd_hda_intel, snd_hda_codec, snd_timer.

Để theo dõi máy chủ, kẻ tấn công sử dụng phương thức báo hiệu trong băng tần, trong đó tập lệnh lệnh ẩn được thêm vào dữ liệu lưu lượng mạng thông thường để thực hiện các hành động có hại.

Kịch bản hoạt động như dữ liệu bí mật, được trích xuất từ ​​lưu lượng mạng bằng cách triển khai snd_floppy tập tin trình điều khiển. Kẻ tấn công sử dụng cổng nguồn TCP 16 bit để gửi lệnh bỏ qua việc phát hiện từ tường lửa.

Làm thế nào để bảo mật máy chủ khỏi Cloud Snooper Attack?

Điều đầu tiên bạn có thể làm là sửa đổi các quy tắc bảo mật hiện tại của mình cho tường lửa để phát hiện và chặn các gói từ một cổng nguồn bất hợp pháp.

Nếu tường lửa vẫn không thể hạn chế sự xâm nhập của tệp bị nhiễm, bạn có thể thêm một lớp biện pháp khác để ngăn việc thực thi tập lệnh. Bạn có thể sử dụng bất kỳ công cụ nào có thể giám sát và xóa các trình điều khiển hạt nhân giả mạo hoặc các chương trình không mong muốn khỏi máy chủ của bạn.

TÌM HIỂU MÃ SỐ MÃ QUẢNG CÁO

Biện pháp phòng ngừa cuối cùng cần có đối với bất kỳ quản trị viên nào là thường xuyên truy cập và cập nhật mật khẩu gốc để ngăn chặn việc thực thi các chức năng cấp gốc. Bạn cũng có thể thêm xác thực hai yếu tố cho một lớp bảo mật bổ sung.