Um novo ataque ao estilo APT combina uma técnica de contorno com uma carga útil multiplataforma para atingir as cargas de trabalho em nuvem do Windows e do Linux. Pare o ataque com o conselho técnico da Sophos.
“A Sophos Labs descobriu um novo malware no estilo APT em servidores hospedados na nuvem rodando tanto Linux quanto Windows. Chamado de Cloud Snooper, ele pode fugir das técnicas tradicionais de segurança de firewall, tanto no local como na nuvem.” Por Jorn Lutters, arquiteto sênior de segurança do Grupo Sophos Public Cloud
Um ataque surpresa
Ataques cibernéticos de tunneling para escapar de um firewall não é novidade, mas o aspecto que se destaca do Cloud Snooper é a capacidade do malware de escapar do tradicional stateful firewalling por uma solicitação de falsificação. Usando a remontagem de pacotes locais para redirecionar o tráfego de uma porta de serviço conhecida (TCP 80/443) para as portas de serviço de comando e controle do cliente – não é algo que você vê todos os dias. O mesmo vale para o uso de portas de origem no cabeçalho do pedido para acionar ações específicas pré-construídas no cliente do kit de ferramentas de acesso remoto.
Windows ou Linux, ninguém está seguro!
O APT Cloud Snooper foi especificamente escrito para prosperar no tipo de ambiente de SO misto que a maioria das nuvens públicas representam, não tornando ninguém seguro. Este malware é multi-plataforma, e conseguiu infiltrar-se nos sistemas Linux através do que parece ser um ataque de dicionário a uma porta SSH exposta. Esta é uma mudança clara do comportamento típico do malware, afinal um ataque normal iria atrás de máquinas baseadas no Windows devido à grande base de instalação do desktop do usuário.
Esta mudança de tática é indicativa das áreas de caça que as nuvens públicas se tornaram para os atacantes; com as faixas de IP público conhecidas, é incrivelmente fácil varrer continuamente toda a área de cobertura externa de um provedor de nuvem pública e lançar ataques automatizados contra portas de serviço conhecidas.
Como proteger as suas cargas de trabalho do Cloud Snooper?
Então, o que você pode fazer para se proteger contra o Cloud Snooper e malware similar na nuvem pública? Siga a nossa lista de seis pontos para parar este último tipo de ataque e confira o excelente webinar de Tim Rains sobre este tópico.
Implementar anti-malware específico do servidor em cargas de trabalho
Garantir que a segurança dos terminais seja implantada em qualquer carga de trabalho baseada em servidor é o mesmo que garantir o seu funcionamento, como qualquer diagrama de responsabilidade compartilhada lhe dirá. O malware Cloud Snooper é um ótimo exemplo de porque você precisa ter visibilidade e fiscalização da própria carga de trabalho, sem as tecnologias anti-exploração de última geração fornecidas pelo Sophos Intercept X para Server, por exemplo, o exploit baseado em driver no sistema Windows passaria completamente despercebido. E o mesmo vale para as máquinas Linux, determinar se um módulo do kernel é malicioso baseado apenas no nome (“snd_floppy”) é muito difícil de fazer, especialmente em escala. De modo a condenar estes tipos de malwares é muito importante analisar o seu comportamento para determinar a sua intenção.
Criar uma lista branca de processos
A lista branca de processos sobre a carga de trabalho na nuvem deve ser um dado adquirido; uma vez que você sabe exatamente o que precisa de uma determinada instância para fazer, quaisquer processos fora dos necessários para que a carga de trabalho faça sua tarefa devem ser considerados supérfluos na melhor das hipóteses, suspeitos na pior das hipóteses. Usar uma solução de lista branca de processos automatizada como o Server Lockdown no Sophos Intercept X para servidores não só tornará este processo tão fácil como inverter um switch, como também impedirá o cliente de comando e controle de executar em primeiro lugar.
Ampliar grupos de segurança com inspeção profunda de pacotes
Um firewall dinâmico não se compara ao cenário de ameaças moderno de hoje – à medida que mais e mais atacantes se envolvem nas suas comunicações em TLS, praticamente qualquer protocolo pode ser sintonizado através de qualquer porta aberta, a sua primeira linha de defesa precisa de visibilidade para o conteúdo real do tráfego.
É aqui que IPS e Web App Firewalling, como os encontrados no Sophos UTM e Sophos XG Firewall, ajudam a detectar e parar ataques de evasão como os empregados pelo Cloud Snooper.
Habilitar a conectividade segura e autenticação forte para acesso remoto a autenticação baseada em senha simplesmente não é suficiente para proteger o acesso remoto de face externa através de protocolos como SSH, RDP e outros. A melhor prática é não ter nenhuma dessas portas exposta publicamente para começar, habilitando-as apenas através de conexões VPN, por exemplo. Mas se você tiver que habilitar o acesso remoto publicamente, certifique-se de pelo menos configurar alguma forma de autenticação multi-factor usando certificados, tokens ou uma combinação de ambos.
Uma boa maneira de implementar uma combinação destas melhores práticas é usar a autenticação multi-factor baseada em TOTP incorporada no Sophos UTM e Sophos XG Firewall, combinada com a nossa VPN HTML5 sem cliente através de um portal de utilizador seguro.
Use uma solução de Gerenciamento de Postura de Segurança em Nuvem
As soluções de Gerenciamento de Postura de Segurança na Nuvem, ou CSPM, existem para ajudar a obter uma visão da postura de segurança do seu imóvel público na Nuvem. Ter um inventário de hosts e grupos de segurança ajuda a detectar configurações potencialmente inseguras antes que elas sejam exploradas por um atacante.
O Sophos Cloud Optix não só faz isso, como também mapeia visualmente a infraestrutura em suas contas na nuvem com uma sobreposição de tráfego, para que você possa facilmente detectar anormalidades de tráfego entre hosts e interrogar suas configurações de grupo de segurança para determinar se elas estão realmente ajudando a proteger suas instâncias corretamente. Além disso, a IA aprende automaticamente a linha de base do tráfego para o seu ambiente, portanto, um atacante que subitamente causa atividade em uma porta não utilizada (ou muito mais tráfego em uma porta anteriormente inativa ou menos utilizada) levará imediatamente a um potencial risco de segurança a ser sinalizado para a sua equipe investigar.
Além de todas estas soluções CSPM como o Cloud Optix ajudam a defender-se contra outras vias comuns de ataque, tais como configurações erradas de segurança, reutilização de credenciais, abuso de privilégios e acesso superprivilegiado. Juntos, isto ajuda você a manter-se no topo das melhores práticas para seus ambientes e prevenir muitos tipos diferentes de ataques comuns.
Configurar a gestão de patches
Embora não seja totalmente claro como o Cloud Snooper conseguiu infiltrar-se no host original, uma melhor prática comum para qualquer máquina (virtual ou física) é implantar patches e hotfixes de forma oportuna para evitar que bugs conhecidos sejam explorados por atacantes. Uma grama de prevenção é melhor que um quilo de cura, afinal de contas.
O desafio na nuvem pública, no entanto, é fazer isso em escala e no ritmo da nuvem, e é por isso que todos os principais fornecedores de nuvem têm alguma forma de CMDB ou solução de gerenciamento de patches que se integra à sua plataforma, como o Systems Manager no AWS e o Update Manager no Azure.
Embora cada elemento individual do Cloud Snooper já tenha sido observado anteriormente, eles não foram vistos antes em combinação. A Sophos espera que essas novas táticas cheguem aos níveis mais baixos da hierarquia dos criminosos cibernéticos e sejam utilizadas como planos para novos ataques na nuvem, visando os ativos em nuvem baseados em Windows e Linux, e que todas as organizações que utilizam a nuvem estejam prontas para isso.
Posts recentes