Pilvistä snooper

Cloud Snooper -uhka on haittaohjelma, joka on kehitetty kohdistamaan erityisesti Linux-palvelimia. Tutkittuaan uhan kyberturvallisuustutkijat havaitsivat, että Cloud Snooper -haittaohjelmien tekijät toteuttavat erittäin mielenkiintoisia ja innovatiivisia menetelmiä uhan kommunikoimiseksi hyökkääjien C&C (Command & Control) -palvelimen kanssa.

Älykäs tekniikka, jota Cloud Snooper käyttää

Palvelut, joita käytetään vuorovaikutuksessa Webin kanssa, käyttävät tiettyjä nimettyjä portteja tiedonsiirtoon. Esimerkiksi FTP käyttää porttia 21, HTTPS käyttää porttia 443, HTTP käyttää porttia 80 jne. Kaikki portit välillä 1 - 65535 ovat käytettävissä palveluita varten. Vaikka Windows-pohjaiset palvelut käyttävät enimmäkseen portteja välillä 49152–65535, UNIX-järjestelmät pyrkivät monipuolistamaan enemmän. Cloud Snooper -haittaohjelmien käyttämät portit kuuluvat seuraavalle alueelle - 32768 ja 60999. Tätä voidaan pitää laillisena liikenteenä, mikä tarkoittaa, että sen suodattaminen on epätodennäköistä.

Internetille avattuissa verkkopalveluissa on yleensä portti, jota käytetään saapuvien yhteyksien tiukkaan hyväksymiseen - esimerkiksi HTTP-yhteys suoritetaan portin 80 kautta. Tämä ei kuitenkaan ole ainoa sellaisessa yhteydessä käytetty portti, kun yrität muodostaa yhteyden Palvelimen portin 80 kautta, vastaanottaja voi osoittaa sinulle satunnaisen, ainutlaatuisen portin, jotta se pystyy tunnistamaan verkkoliikenteen. Tämä tekniikka mahdollistaa Cloud Snooper -haittaohjelmien toiminnan erittäin hiljaisesti.

Cloud Snooper -hyötykuorma voi aiheuttaa väärennetyn Linux-ohjaimen nimeltä 'snd_floppy'. Nimen 'snd' -osa tarkoittaa yleensä ääniohjainta. 'Snd_floppy'-tiedosto ei ole aito ohjain - se on Cloud Snooper -haittaohjelman hyötykuorma. Heti kun Cloud Snooper -uhka tunkeutuu kohdistettuun järjestelmään onnistuneesti, se pitää silmällä pingsä, jotka käyttävät tiettyjä portteja. Kyseiset pingit ovat hyökkääjien C&C-palvelimelta tulevia paketteja. Nämä paketit eivät kuitenkaan sisällä komentoja, ja ovat itse asiassa tyhjiä. Tämä tarkoittaa, että palomuurit voivat unohtaa nämä satunnaisporttien kautta lähetetyt paketit, koska ne vaikuttavat vaarattomilta, ja Cloud Cloud Snooper -haittaohjelma luottaa tähän.

Muut portit, joita Cloud Snooper käyttää, sallivat sen suorittaa erilaisia tehtäviä:

• 6060 - Uhan hyötykuorma sisältyy väärässä "snd_floppy" -ohjaimessa, joka implantoidaan järjestelmään heti, kun 6060-portin kautta vastaanotetaan ping.
• 8080 - Vakoillakseen tavoitettaan, uhka voi kaappaa satamasta 9090 tulevan liikenteen ja ohjata sen porttiin 2053.
• 9999 - Uhka lopettaa toiminnan ja poistaa itsensä vaarantuneesta isännästä.

Varmista, että Linux-järjestelmiäsi suojaa aito haittaohjelmien torjuntatyökalu, joka on yhteensopiva käyttöjärjestelmäsi kanssa.