Eine von Sophos auf AWS entdeckte Malware namens Cloud Snooper tarnt sich geschickt. Sie sendet Traffic von den meisten Firewalls unentdeckt über reguläre TCP/IP-Pakete.
Die von Sophos erkannten kompromittierten EC2-Instanzen bei AWS nutzten Linux und Windows als Betriebssystem. Die Malware fiel auf, weil die Instanzen trotz Einsatz der AWS Security Groups (SG) auf den Ports 2080 und 2053 lauschten. Cloud Snooper beschränke sich laut Sophos aber nicht auf die AWS-Cloud. Sie könne auf beliebigen Rechnern laufen und werde wohl von einer Mehrheit der Firewalls nicht bemerkt.

Mit einer hübschen Illustration verdeutlicht Sophos wie Cloud Snooper funktioniert. (Quelle: news.sophos.com)
Der Grund: Ist die Malware einmal installiert, kommuniziert der Command-and-Control-Server (C2) über die legitimen Ports mit ihr. Er tarnt also seine Kommandos als gewöhnliche Anfragen an den Webserver. Ein Listener der Malware erkennt diese veränderten Pakete, fängt sie ab, bevor sie den Webserver erreichen und die Malware setzt die darin enthaltenen Befehle um. Die können zum Beispiel dazu auffordern, sensible Daten zu sammeln. Diese Daten verpackt die Malware dann wieder als legitimen Traffic und sendet diesen zurück.
Hang on Snoopy
Da die Malware, die auf Gh0st RAT basieren soll, recht ausgefeilte Technologien verwendet, um mit dem C2-Server zu kommunizieren, glaubt Sophos an einen Nation-State-Actor als Hersteller. Als zentrale Komponente dient ein Kernelmodul namens “snd_floppy”, das zwei Netfilter-Hooks etabliert: “NF_INET_LOCAL_IN” und “NF_INET_LOCAL_OUT”. Der Hook-Handler schaut dann in den Headern der eingehenden Pakete nach bestimmten Schlüsselwörtern. Konkret fahndet er nach Paketen, die als Quellports “1010”, “2020”, “6060”, “7070”, “8080” oder “9999” angeben und entpackt dann das mitgelieferte und mit RC4 verschlüsselte File, um es als “/tmp/snoopy” abzulegen. Eine Usermode-Anwendung führt “snoopy” aus, zugleich löscht die Malware das “snoopy”-Verzeichnis schnell wieder, so dass “snoopy” nur noch im Speicher läuft.
Die Sicherheitsforscher von Sophos wissen jedoch bislang noch nicht, wie die Malware überhaupt auf die EC2-Instanzen gelangt. Spekuliert wird über unzureichend mit einem Passwort abgesicherte SSH-Zugänge. Noch detailliertere Informationen zur Malware liefert der Blogpost von Sophos, zu dem auch ein PDF mit ausführlichen Informationen gehört.






Wie überraschend, wie immer keine Spur eines Infektionswegs. Nur Theorie und der ewige Konjunktiv. Entweder sind diese angeblichen Infektionen rein fiktiv, damit die Schlangenölvertreter bloß nicht in Vergessenheit geraten, oder die betroffenen Systeme werden so unterirdisch administriert, dass man nicht mal von einem Basisschutz sprechen kann. Auch die Berichte der letzten Monate waren höchst dubios, wo es immer wieder um verseuchte Linux Server ging. Ich nutze nun schon fast 20 Jahre Linux, privat als auch 8 Jahre beruflich. Und trotz Unmengen an Angriffen, war noch nie einer erfolgreich.