台灣電腦網路危機處理暨協調中心-TWCERT/CC

一種全新的駭侵攻擊手法，可利用植入系統的 Rootkit 避開 AWS 的防火牆設定進行資料竊取或其他攻擊。

資安廠商 Sophos 發表研究報告，指出發現一種全新且複雜成熟的駭侵攻擊手法，可以繞過 Amazon Web Service 內建的資安防護機制，進行資料竊取或其他形式的攻擊。

這種攻擊手法稱為「Could Snooper」，原理是設法將一個 Rootkit 低階後門惡意軟體植入 AWS 中的 Linux 伺服器，成功感染伺服器之後，該 Rootkit 便會透過變造的網路封包，以「尾隨」正常封包的手法，光明正大地通過防火牆所允許的傳入通訊埠，將內部的機敏資訊傳到外部，甚至從外部進行遙控，形成後門。

Sophos 說，該公司發現一些 AWS 伺服器的防火牆雖然只開放了 Web 通訊所需的通訊埠 80 和 443，但仍偵測到通訊埠 2080 和 2053 有不正常的 TCP 封包傳輸，因而發現這個攻擊手法。

Sophos 表示，這個後門 Rootkit 係基於 Gh0st RAT 惡意軟體的程式碼，該公司也已經偵測到 AWS 中的 Linux 和 Windows 伺服器都遭到類似 Rootkit 的攻擊；鑑於該手法的複雜度，有理由相信這類攻擊和 APT 駭侵團體有關，但尚無直接證據可歸因於特定的 APT 駭侵團體。
 

▼參考連結▼

• https://news.sophos.com/wp-content/uploads/2020/02/CloudSnooper_report.pdf
• https://news.sophos.com/en-us/2020/02/25/cloud-snooper-attack-bypasses-firewall-security-measures/

更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news