Pilves snooper

Cloud Snooperi oht on pahavara, mis on välja töötatud spetsiaalselt Linuxi serverite sihtimiseks. Pärast ohu analüüsimist leidsid küberturbe uurijad, et Cloud Snooperi pahavara autorid rakendavad väga huvitavaid ja uuenduslikke meetodeid ohu kommunikatsiooniks ründajate C&C (Command & Control) serveriga.

Cloud Snooperi kasutatud nutikad tehnikad

Veebiga suhtlemiseks kasutatavad teenused kasutavad andmete edastamiseks teatavaid määratud sadamaid. Näiteks FTP kasutab porti 21, HTTPS kasutab porti 443, HTTP kasutab porti 80 jne. Kõik pordid vahemikus 1 kuni 65535 on teenuste jaoks saadaval. Kui Windowsi-põhised teenused kasutavad enamasti sadamaid vahemikus 49152–65535, siis UNIX-i süsteemid kipuvad rohkem mitmekesistama. Cloud Snooperi pahavara kasutatavad pordid kuuluvad järgmisesse vahemikku - 32768 ja 60999. Seda võib pidada seaduslikuks liikluseks, mis tähendab, et selle filtreerimine on ebatõenäoline.

Internetti avatud veebiteenustel on tavaliselt port, mida kasutatakse sissetulevate ühenduste rangeks vastuvõtmiseks - näiteks HTTP-ühendus luuakse pordi 80 kaudu. Kuid see pole ainus sellises ühenduses kasutatav port - kui proovite ühenduse luua Serveri kaudu pordi 80 kaudu võib adressaat määrata teile juhusliku unikaalse porti, et ta saaks võrguliiklust tuvastada. See tehnika võimaldab Cloud Snooperi pahavara töötada väga vaikselt.

Cloud Snooperi kasulik koormus võib endast kujutada võltsitud Linuxi draiverit nimega 'snd_floppy'. Nime "snd" osa tähistab tavaliselt helidraiverit. Fail 'snd_floppy' pole ehtne draiver - see on Cloud Snooperi pahavara kasulik koormus. Niipea kui Cloud Snooperi oht tungib sihitud süsteemi edukalt, hoiab see silma peal pingsil, mis kasutavad teatud sadamaid. Kõne all olevad pingid on ründajate C&C serverist tulevad pakid. Need paketid ei sisalda aga käske ja on tegelikult tühjad. See tähendab, et tulemüürid võivad jätta tähelepanuta need juhuslike sadamate kaudu saadetavad paketid, kuna need tunduvad kahjutud ja sellele tugineb Cloud Snooperi pahavara.

Muud pordid, mida Cloud Snooper kasutab, võimaldavad tal täita erinevaid ülesandeid:

• 6060 - ohu kasulik koormus sisaldub võltsis „snd_floppy” draiveris, mis implanteeritakse süsteemi kohe, kui 6060 pordi kaudu saabub ping.
• 8080 - eesmärgi luuramiseks võib ähvardus sadamast 9090 tuleva liikluse kaaperdada ja suunata selle sadamasse 2053.
• 9999 - oht lõpetaks tegevuse ja kustutaks ennast ohustatud hostist.

Veenduge, et teie Linuxi süsteemid oleksid kaitstud teie OS-iga ühilduva ehtsa pahavaravastase tööriista abil.