Cloud Snooper

Η απειλή Cloud Snooper είναι ένα κακόβουλο λογισμικό που αναπτύχθηκε ειδικά για τους διακομιστές Linux. Μετά την ανάλυση της απειλής, οι ερευνητές στον κυβερνοχώρο διαπίστωσαν ότι οι συντάκτες του κακόβουλου λογισμικού Cloud Snooper εφαρμόζουν πολύ ενδιαφέρουσες και καινοτόμες μεθόδους όσον αφορά την επικοινωνία της απειλής με τον διακομιστή C & C (Command & Control) των εισβολέων.

Οι έξυπνες τεχνικές που χρησιμοποιούνται από το Cloud Snooper

Οι υπηρεσίες, οι οποίες χρησιμοποιούνται για την αλληλεπίδραση με τον Ιστό, χρησιμοποιούν συγκεκριμένες θύρες για τη μετάδοση δεδομένων. Για παράδειγμα, το FTP χρησιμοποιεί τη θύρα 21, το HTTPS χρησιμοποιεί τη θύρα 443, το HTTP χρησιμοποιεί τη θύρα 80, κλπ. Όλες οι θύρες μεταξύ 1 και 65535 είναι διαθέσιμες για υπηρεσίες που χρησιμοποιούν. Ενώ οι υπηρεσίες που βασίζονται στα Windows χρησιμοποιούν κυρίως τις θύρες μεταξύ 49152 και 65535, τα συστήματα UNIX τείνουν να διαφοροποιούν περισσότερο. Οι θύρες που χρησιμοποιούνται από το κακόβουλο λογισμικό Cloud Snooper εμπίπτουν στην παρακάτω σειρά - 32768 και 60999. Αυτό μπορεί να θεωρηθεί ως νόμιμη κίνηση, πράγμα που σημαίνει ότι είναι απίθανο να φιλτραριστεί.

Οι υπηρεσίες Web που ανοίγουν στο Διαδίκτυο έχουν συνήθως μια θύρα που χρησιμοποιείται για την αυστηρή αποδοχή εισερχόμενων συνδέσεων - για παράδειγμα, μια σύνδεση HTTP εκτελείται μέσω θύρας 80. Ωστόσο, αυτή δεν είναι η μόνη θύρα που χρησιμοποιείται σε μια τέτοια σύνδεση - όταν επιχειρείτε να συνδεθείτε σε μια server μέσω της θύρας 80, ο παραλήπτης μπορεί να σας αντιστοιχίσει μια τυχαία, μοναδική θύρα, έτσι ώστε να είναι σε θέση να αναγνωρίσει την κυκλοφορία δικτύου. Αυτή η τεχνική επιτρέπει στο λογισμικό malware του Cloud Snooper να λειτουργεί πολύ σιωπηλά.

Το ωφέλιμο φορτίο του Cloud Snooper μπορεί να αποτελέσει ψευδή οδηγό Linux που ονομάζεται 'snd_floppy'. Το τμήμα 'snd' του ονόματος συνήθως χρησιμεύει για να δηλώσει ένα πρόγραμμα οδήγησης ήχου. Το αρχείο 'snd_floppy' δεν είναι γνήσιο πρόγραμμα οδήγησης - είναι το ωφέλιμο φορτίο του κακόβουλου λογισμικού Cloud Snooper. Μόλις η απειλή Cloud Snooper εισχωρήσει επιτυχώς στο στοχευμένο σύστημα, θα παρακολουθεί με προσοχή τους pings που χρησιμοποιούν συγκεκριμένες θύρες. Οι εν λόγω pings είναι πακέτα που προέρχονται από το διακομιστή C & C των εισβολέων. Ωστόσο, αυτά τα πακέτα δεν περιέχουν εντολές και στην πραγματικότητα είναι κενές. Αυτό σημαίνει ότι τα τείχη προστασίας ενδέχεται να παραβλέπουν αυτά τα πακέτα που αποστέλλονται μέσω τυχαίων θυρών, καθώς θα φαίνονται ακίνδυνα και αυτό βασίζεται στο κακόβουλο λογισμικό Cloud Snooper.

Άλλες θύρες που χρησιμοποιεί το Cloud Snooper του επιτρέπει να εκτελεί διαφορετικές εργασίες:

• 6060 - Το ωφέλιμο φορτίο της απειλής περιέχεται σε έναν ψευδή «snd_floppy» οδηγό που θα εμφυτευτεί στο σύστημα αμέσως μόλις υπάρχει ένα ping που λαμβάνεται μέσω της θύρας 6060.
• 8080 - Για να κατασκοπεύει τον στόχο της, η απειλή μπορεί να απαγορεύσει την κυκλοφορία που προέρχεται από τη θύρα 9090 και να την ανακατευθύνει στη θύρα 2053.
• 9999 - Η απειλή θα σταματήσει τη δραστηριότητα και θα διαγραφεί από τον κατεστραμμένο κεντρικό υπολογιστή.

Βεβαιωθείτε ότι τα συστήματα Linux σας προστατεύονται από ένα γνήσιο εργαλείο προστασίας από κακόβουλο λογισμικό που είναι συμβατό με το λειτουργικό σας σύστημα.