桂哥网络在同时运行Linux和Windows的云服务器上发现了一种新的APT歹意软件：Cloud Snooper，它可以在本地和云服务器中规避传统的防火墙安全技术。

　　一、Cloud Snooper绕过传统防火墙

　　为了回避防火墙而进行的网络攻击隧道建设其实不是甚么新鲜事，但是Cloud Snooper的突出特点是歹意软件能够通过复杂的要求捏造来回避传统的防火墙。使用本地数据包重组将流量从已知服务端口(TCP 80/443)重定向到命令并控制客户真个服务端口。这不是常常能看到的。使用要求标头中的源端口来触发远程访问工具箱客户端中的特定预建操作也是如此。

　　二、Windows/Linux均难以幸免

　　Cloud Snooper APT是专门为在大多数公共云服务器所代表的混合OS环境中蓬勃发展而编写的，这使任何使用云服务器的企业在线业务都不安全。该歹意软件是多平台的，它通过在暴露的SSH端口上仿佛是字典攻击而想法渗透到Linux系统。与典型的歹意软件行动相比，这是一个明显的变化。以往由于用户桌面的安装量很大，针对基于Windows的计算机上进行攻击是常态。

　　这类策略上的转变表明，公共云服务器已成为攻击者的狩猎场。在已知公共IP范围的情况下，连续扫描全部公共云提供商的外部足迹并针对已知服务端口发起自动攻击非常容易。

　　三、如何保护您的工作负载免受Cloud Snooper APT攻击

　　那末，您如何才能保护自己免受Cloud Snooper和公共云服务器中类似歹意软件的侵害?请遵守我们的六点检查清单来避免这类的攻击类型。

　　1、在工作负载上部署特定于服务器的反歹意软件

　　确保将端点安全性措施部署在任何基于服务器的工作负载上均等于确保其运行安全。Cloud Snooper歹意软件很好地说明了为啥您需要对工作负载本身具有可见性和强迫性，例如，Windows系统上基于驱动程序的利用就能够完全未被发现。Linux机器也是如此。仅凭名称(“snd_floppy”)来肯定内核模块是否是为歹意是非常困难的，特别是在范围上。为了定罪这些类型的歹意软件，分析其行动以肯定其意图非常重要。

　　2、设置流程白名单

　　应当给出有关云服务器工作负载的流程白名单。由于您确切知道需要特定实例履行的操作，因此将工作负载完成任务所需的流程以外的任何流程都视为过剩的，而在最坏的情况下则应视为可疑的。您可以采取服务器锁定之类的自动化流程白名单解决方案，并禁止命令和控制客户端首先履行。

　　3、通过深度数据包检查扩大安全组

　　传统的防火墙没法与现今的现代要挟环境等量齐观。随着愈来愈多的攻击者将其通讯封装在TLS中，几近任何协议都可以通过几近任何开放端口进行隧道传输，因此，重要道防线需要了解其中的实际内容。检测和禁止回避攻击，例如Cloud Snooper所采取的攻击。

　　4、为远程访问启用安全连接和强大的身份验证

　　基于密码的身份验证根本不足以保护通过SSH、RDP等协议的面向外部的远程访问。做法是，例如，仅通过VPN连接启用这些端口，就不要公然这些端口。但是，如果需要公然启用远程访问，请确保最少使用证书、令牌或二者的组合来设置某种情势的多因素身份验证。例如，使用内置的基于TOTP的多因素身份验证，并通过安全的用户门户与HTML5无客户端VPN结合使用。

　　5、使用云安全状态管理解决方案

　　您需要洞悉公共云服务器中资产的安全状态。具有主机和安全组的清单有助于在攻击者利用潜伏的不安全配置之前发现它们。通过流量图直观地映照云服务器中的基础架构，发现主机之间的流量异常并询问安全组设置，以肯定它们是否是确切在帮助您保护自己的安全。除此以外，了解您的环境的流量基准，如果攻击者突然在未使用的端口上引发活动(或在先前处于休眠或使用较少的端口上产生更多的流量)，可能致使潜伏的安全风险。

　　6、设置补钉程序管理

　　虽然尚不清楚Cloud Snooper如何渗透到原始主机，但任何机器(虚拟或物理)的常见做法是及时部署补钉程序和修补程序，以避免已知的漏洞被攻击者利用。毕竟，预防比医治更加重要。

　　但是，云服务器中的挑战是要按范围和按云计算的步伐来做到这一点，这就是为啥所有主要云提供商都具有某种情势的CMDB或补钉管理解决方案与他们的平台集成的缘由。