سحابة المتلصص
تهديد Cloud Snooper هو برنامج ضار تم تطويره لاستهداف خوادم Linux على وجه التحديد. بعد تحليل التهديد ، وجد باحثو الأمن السيبراني أن مؤلفي البرمجيات الخبيثة في Cloud Snooper يطبقون طرقًا مبتكرة ومثيرة للاهتمام للغاية فيما يتعلق باتصال التهديد باستخدام خادم C&C (Command & Control) للمهاجمين.
التقنيات الذكية المستخدمة بواسطة Cloud Snooper
تستخدم الخدمات ، التي تستخدم للتفاعل مع الويب ، بعض المنافذ المعينة لنقل البيانات. على سبيل المثال ، يستخدم FTP المنفذ 21 ، يستخدم HTTPS المنفذ 443 ، يستخدم HTTP المنفذ 80 ، وما إلى ذلك. تتوفر كافة المنافذ بين 1 و 65535 للاستفادة من الخدمات. بينما تستخدم الخدمات المستندة إلى Windows منافذ بين 49152 و 65535 في الغالب ، تميل أنظمة UNIX إلى التنويع أكثر. تقع المنافذ المستخدمة من قِبل البرامج الضارة لـ Cloud Snooper ضمن النطاق التالي - 32768 و 60999. يمكن اعتبار ذلك حركة مرور مشروعة ، مما يعني أنه من غير المرجح أن تتم تصفيته.
عادة ما يكون لخدمات الويب المفتوحة على الإنترنت منفذ يستخدم لقبول الاتصالات الواردة بشكل صارم - على سبيل المثال ، يتم تنفيذ اتصال HTTP عبر المنفذ 80. ومع ذلك ، فإن هذا ليس هو المنفذ الوحيد المستخدم في مثل هذا الاتصال - عند محاولة الاتصال بـ الخادم عبر المنفذ 80 ، قد يقوم المستلم بتعيين منفذ عشوائي فريد لك ، بحيث يكون قادرًا على تحديد حركة مرور الشبكة. تمكن هذه التقنية برنامج Cloud Snooper الخبيث من العمل بصمت شديد.
قد تشكل حمولة Cloud Snooper كسائق زائف لنظام Linux يسمى 'snd_floppy'. يخدم الجزء 'snd' من الاسم عادةً برنامج تشغيل صوتي. ملف 'snd_floppy' ليس محركًا حقيقيًا - إنه حمولة البرامج الضارة لـ Cloud Snooper. بمجرد أن يخترق تهديد Cloud Snooper النظام المستهدف بنجاح ، فسيتم ترقب الأصوات التي تستخدم منافذ معينة. الأصوات المذكورة هي حزم تأتي من خادم C&C للمهاجمين. ومع ذلك ، لا تحتوي هذه الحزم على أوامر وهي في الواقع فارغة. هذا يعني أن جدران الحماية قد تتجاهل هذه الحزم المرسلة عبر منافذ عشوائية لأنها قد تبدو غير ضارة ، وهذا ما تعتمد عليه البرامج الضارة لـ Cloud Snooper.
تتيح المنافذ الأخرى التي يستخدمها Cloud Snooper أداء مهام مختلفة:
- 6060 - يتم تضمين حمولة التهديد في برنامج تشغيل snd_floppy مزيف سيتم زراعته على النظام بمجرد تلقي اختبار ping عبر منفذ 6060.
- 8080 - للتجسس على هدفه ، يمكن للتهديد اختطاف حركة المرور القادمة من المنفذ 9090 وإعادة توجيهه إلى المنفذ 2053.
- 9999 - التهديد سيوقف النشاط ويحذف نفسه من المضيف للخطر.
تأكد من حماية أنظمة Linux الخاصة بك عن طريق أداة أصلية لمكافحة البرامج الضارة متوافقة مع نظام التشغيل لديك.