按 Enter 到主內容區
:::

TWCERT-電子報

:::

全新駭侵攻擊手法,可繞過 AWS 伺服器上防火牆並自由進出

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-26
  • 點閱次數:378
全新駭侵攻擊手法,可繞過 AWS 伺服器上防火牆並自由進出 TWCERT/CC

一種全新的駭侵攻擊手法,可利用植入系統的 Rootkit 避開 AWS 的防火牆設定進行資料竊取或其他攻擊。

資安廠商 Sophos 發表研究報告,指出發現一種全新且複雜成熟的駭侵攻擊手法,可以繞過 Amazon Web Service 內建的資安防護機制,進行資料竊取或其他形式的攻擊。

這種攻擊手法稱為「Could Snooper」,原理是設法將一個 Rootkit 低階後門惡意軟體植入 AWS 中的 Linux 伺服器,成功感染伺服器之後,該 Rootkit 便會透過變造的網路封包,以「尾隨」正常封包的手法,光明正大地通過防火牆所允許的傳入通訊埠,將內部的機敏資訊傳到外部,甚至從外部進行遙控,形成後門。

Sophos 說,該公司發現一些 AWS 伺服器的防火牆雖然只開放了 Web 通訊所需的通訊埠 80 和 443,但仍偵測到通訊埠 2080 和 2053 有不正常的 TCP 封包傳輸,因而發現這個攻擊手法。

Sophos 表示,這個後門 Rootkit 係基於 Gh0st RAT 惡意軟體的程式碼,該公司也已經偵測到 AWS 中的 Linux 和 Windows 伺服器都遭到類似 Rootkit 的攻擊;鑑於該手法的複雜度,有理由相信這類攻擊和 APT 駭侵團體有關,但尚無直接證據可歸因於特定的 APT 駭侵團體。

回頁首