最近很多云服务供应商在云服务器上发现了一种新的APT恶意软件:Cloud Snooper,同时运行Linux和Windows的恶意软件它可以在本地和云服务器中规避传统的防火墙安全技术。
一、Cloud Snooper绕过传统防火墙
为了逃避防火墙而进行的网络攻击隧道建设并不是什么新鲜事,但是Cloud Snooper的突出特点是恶意软件能够通过复杂的请求伪造来逃避传统的防火墙。使用本地数据包重组将流量从已知服务端口(TCP 80/443)重定向到命令并控制客户端的服务端口。这不是经常能看到的。使用请求标头中的源端口来触发远程访问工具箱客户端中的特定预建操作也是如此。