Cloud Snooper

La minaccia Cloud Snooper è un malware sviluppato appositamente per i server Linux. Dopo aver analizzato la minaccia, i ricercatori della sicurezza informatica hanno scoperto che gli autori del malware Cloud Snooper stanno implementando metodi molto interessanti e innovativi per quanto riguarda la comunicazione della minaccia con il server C&C (Command & Control) degli aggressori.

Le tecniche intelligenti utilizzate da Cloud Snooper

I servizi, utilizzati per interagire con il Web, utilizzano determinate porte designate per trasmettere dati. Ad esempio, FTP utilizza la porta 21, HTTPS utilizza la porta 443, HTTP utilizza la porta 80, ecc. Tutte le porte tra 1 e 65535 sono disponibili per l'utilizzo da parte dei servizi. Mentre i servizi basati su Windows utilizzano principalmente porte tra 49152 e 65535, i sistemi UNIX tendono a diversificarsi maggiormente. Le porte utilizzate dal malware Cloud Snooper rientrano nel seguente intervallo: 32768 e 60999. Questo può essere visto come traffico legittimo, il che significa che è improbabile che venga filtrato.

I servizi Web aperti a Internet di solito hanno una porta utilizzata per accettare rigorosamente le connessioni in entrata - ad esempio, una connessione HTTP viene eseguita tramite la porta 80. Tuttavia, questa non è l'unica porta utilizzata in tale connessione - quando si tenta di connettersi a un server tramite la porta 80, il destinatario può assegnarti una porta univoca e casuale, in modo che sia in grado di identificare il traffico di rete. Questa tecnica consente al malware Cloud Snooper di operare in modo molto silenzioso.

Il payload di Cloud Snooper può rappresentare un falso driver Linux chiamato "snd_floppy". La parte "snd" del nome serve generalmente per indicare un driver audio. Il file 'snd_floppy' non è un driver originale: è il payload del malware Cloud Snooper. Non appena la minaccia Cloud Snooper penetra con successo nel sistema di destinazione, terrà d'occhio i ping che utilizzano determinate porte. I ping in questione sono pacchetti provenienti dal server C&C degli aggressori. Tuttavia, questi pacchetti non contengono comandi e sono, in effetti, vuoti. Ciò significa che i firewall possono trascurare questi pacchetti inviati attraverso porte casuali in quanto sembrerebbero innocui, ed è ciò su cui si basa il malware Cloud Snooper.

Altre porte utilizzate da Cloud Snooper consentono di eseguire diverse attività:

• 6060 - Il payload della minaccia è contenuto in un falso driver 'snd_floppy' che verrà impiantato sul sistema non appena viene ricevuto un ping tramite la porta 6060.
• 8080 - Per spiare il suo obiettivo, la minaccia può dirottare il traffico proveniente dalla porta 9090 e reindirizzarlo alla porta 2053.
• 9999 - La minaccia cesserebbe l'attività e si eliminerebbe dall'host compromesso.

Assicurati che i tuoi sistemi Linux siano protetti da un vero strumento antimalware compatibile con il tuo sistema operativo.