تراخيص الأجهزة المتعددة (خصومات كبيرة)
Threat Database Malware سحابة المتلصص

سحابة المتلصص

بواسطة GoldSparrow في Malware
ترجمة الى:
العربية

تهديد Cloud Snooper هو برنامج ضار تم تطويره لاستهداف خوادم Linux على وجه التحديد. بعد تحليل التهديد ، وجد باحثو الأمن السيبراني أن مؤلفي البرمجيات الخبيثة في Cloud Snooper يطبقون طرقًا مبتكرة ومثيرة للاهتمام للغاية فيما يتعلق باتصال التهديد باستخدام خادم C&C (Command & Control) للمهاجمين.

التقنيات الذكية المستخدمة بواسطة Cloud Snooper

تستخدم الخدمات ، التي تستخدم للتفاعل مع الويب ، بعض المنافذ المعينة لنقل البيانات. على سبيل المثال ، يستخدم FTP المنفذ 21 ، يستخدم HTTPS المنفذ 443 ، يستخدم HTTP المنفذ 80 ، وما إلى ذلك. تتوفر كافة المنافذ بين 1 و 65535 للاستفادة من الخدمات. بينما تستخدم الخدمات المستندة إلى Windows منافذ بين 49152 و 65535 في الغالب ، تميل أنظمة UNIX إلى التنويع أكثر. تقع المنافذ المستخدمة من قِبل البرامج الضارة لـ Cloud Snooper ضمن النطاق التالي - 32768 و 60999. يمكن اعتبار ذلك حركة مرور مشروعة ، مما يعني أنه من غير المرجح أن تتم تصفيته.

عادة ما يكون لخدمات الويب المفتوحة على الإنترنت منفذ يستخدم لقبول الاتصالات الواردة بشكل صارم - على سبيل المثال ، يتم تنفيذ اتصال HTTP عبر المنفذ 80. ومع ذلك ، فإن هذا ليس هو المنفذ الوحيد المستخدم في مثل هذا الاتصال - عند محاولة الاتصال بـ الخادم عبر المنفذ 80 ، قد يقوم المستلم بتعيين منفذ عشوائي فريد لك ، بحيث يكون قادرًا على تحديد حركة مرور الشبكة. تمكن هذه التقنية برنامج Cloud Snooper الخبيث من العمل بصمت شديد.

قد تشكل حمولة Cloud Snooper كسائق زائف لنظام Linux يسمى 'snd_floppy'. يخدم الجزء 'snd' من الاسم عادةً برنامج تشغيل صوتي. ملف 'snd_floppy' ليس محركًا حقيقيًا - إنه حمولة البرامج الضارة لـ Cloud Snooper. بمجرد أن يخترق تهديد Cloud Snooper النظام المستهدف بنجاح ، فسيتم ترقب الأصوات التي تستخدم منافذ معينة. الأصوات المذكورة هي حزم تأتي من خادم C&C للمهاجمين. ومع ذلك ، لا تحتوي هذه الحزم على أوامر وهي في الواقع فارغة. هذا يعني أن جدران الحماية قد تتجاهل هذه الحزم المرسلة عبر منافذ عشوائية لأنها قد تبدو غير ضارة ، وهذا ما تعتمد عليه البرامج الضارة لـ Cloud Snooper.

تتيح المنافذ الأخرى التي يستخدمها Cloud Snooper أداء مهام مختلفة:

  • 6060 - يتم تضمين حمولة التهديد في برنامج تشغيل snd_floppy مزيف سيتم زراعته على النظام بمجرد تلقي اختبار ping عبر منفذ 6060.
  • 8080 - للتجسس على هدفه ، يمكن للتهديد اختطاف حركة المرور القادمة من المنفذ 9090 وإعادة توجيهه إلى المنفذ 2053.
  • 9999 - التهديد سيوقف النشاط ويحذف نفسه من المضيف للخطر.

تأكد من حماية أنظمة Linux الخاصة بك عن طريق أداة أصلية لمكافحة البرامج الضارة متوافقة مع نظام التشغيل لديك.

الشائع

"YouPorn" احتيال البريد الإلكتروني

Spam
بعد فحص شامل لرسائل البريد الإلكتروني الخاصة بـ "YouPorn"، أكد خبراء الأمن السيبراني طبيعتها الاحتيالية. تعد رسائل البريد الإلكتروني هذه جزءًا من أشكال مختلفة من البريد العشوائي، وكلها تشبه أساليب الابتزاز الجنسي. القاسم المشترك بين رسائل البريد الإلكتروني الخادعة هذه هو التأكيد الملفق على أن المستلم متورط في مواد جنسية صريحة تم نشرها مؤخرًا على موقع YouPorn. تقدم رسائل البريد الإلكتروني بعد...

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
14,963
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...