SophosLabs baru saja menerbitkan laporan tentang serangan malware yang dijuluki Cloud Snooper. Alasan untuk nama ini bukan karena serangan ini hanya terjadi pada cloud (teknik ini dapat digunakan terhadap hampir semua server, dimanapun ia di-host) namun nama itu diberikan karena dengan cara ini siber kriminal dapat membuka server Anda ke cloud, dengan cara yang pasti tidak Anda inginkan, “dari dalam ke luar”.
Pada Artikel kali ini, Tim Keamanan Sophos hanya akan membahas salah satu komponen di Cloud Snooper, komponen itu bernama snd_floppy. Itu adalah driver kernel Linux yang digunakan oleh penjahat Cloud Snooper sehingga mereka dapat mengirim instruksi perintah dan kontrol (C2) langsung ke jaringan Anda, namun tersembunyi di depan mata.
Driver snd_floppy menggunakan nilai numerik port TCP yang biasanya tidak penting untuk mengenali “sinyal rahasia” yang masuk dari luar firewall. Sumber port adalah apa yang menyisipkan pesan rahasia melalui firewall, dimana snd_floppy akan melakukan salah satu fungsi rahasianya berdasarkan nomor port, termasuk:
- Mengekstrak dan meluncurkan program malware (Sumber port=6060)
- Mengalihkan paket ini ke malware (Sumber port=7070)
- Menghentikan dan menghapus malware yang sedang berjalan (Sumber port=9999)
- Alihkan paket ini ke server SSH internal (Sumber port=1010)
Baca berita selengkapnya dan cara menangani malware ini pada tautan dibawah ini;
Source: Naked Security by Sophos | SophosLabs
