क्लाउड स्नूपर
क्लाउड स्नूपर खतरा एक मैलवेयर है जो विशेष रूप से लिनक्स सर्वरों को लक्षित करने के लिए विकसित किया गया है। इस खतरे का विश्लेषण करने के बाद, साइबर सिक्योरिटी शोधकर्ताओं ने पाया कि क्लाउड स्नूपर मालवेयर के लेखक हमलावरों के C & C (कमांड एंड कंट्रोल) सर्वर के साथ खतरे के संचार के संबंध में बहुत ही रोचक और नए तरीके लागू कर रहे हैं।
क्लाउड स्नूपर द्वारा प्रयुक्त स्मार्ट तकनीक
वेब के साथ बातचीत करने के लिए उपयोग की जाने वाली सेवाएँ, डेटा को प्रसारित करने के लिए कुछ निर्दिष्ट पोर्ट का उपयोग करती हैं। उदाहरण के लिए, FTP 21 पोर्ट का उपयोग करता है, HTTPS पोर्ट 443 का उपयोग करता है, HTTP पोर्ट 80 का उपयोग करता है, आदि 1 से 65535 के बीच के सभी पोर्ट सेवाओं का उपयोग करने के लिए उपलब्ध हैं। जबकि विंडोज-आधारित सेवाएं 49152 और 65535 के बीच बंदरगाहों का उपयोग करती हैं, UNIX सिस्टम अधिक विविधता लाने के लिए करते हैं। क्लाउड स्नॉपर मालवेयर द्वारा उपयोग किए जाने वाले पोर्ट निम्न श्रेणी - 32768 और 60999 के अंतर्गत आते हैं। इसे वैध ट्रैफ़िक के रूप में देखा जा सकता है, जिसका अर्थ है कि यह संभव नहीं है कि यह फ़िल्टर हो जाएगा।
इंटरनेट पर खोली जाने वाली वेब सेवाओं में आमतौर पर आने वाले कनेक्शनों को सख्ती से स्वीकार करने के लिए उपयोग किया जाता है - उदाहरण के लिए, एक HTTP कनेक्शन को पोर्ट 80 के माध्यम से निष्पादित किया जाता है। हालांकि, इस तरह के कनेक्शन में उपयोग होने वाला यह एकमात्र बंदरगाह नहीं है - जब आप कनेक्ट करने का प्रयास करते हैं पोर्ट 80 के माध्यम से सर्वर, प्राप्तकर्ता आप के लिए एक यादृच्छिक, अद्वितीय पोर्ट असाइन कर सकता है, ताकि यह नेटवर्क ट्रैफ़िक की पहचान करने में सक्षम हो। यह तकनीक क्लाउड स्नूपर मैलवेयर को बहुत ही चुपचाप संचालित करने में सक्षम बनाती है।
क्लाउड स्नूपर पेलोड 'snd_floppy' नामक फर्जी लिनक्स ड्राइवर के रूप में हो सकता है। नाम का 'snd' हिस्सा आमतौर पर एक ऑडियो ड्राइवर को दर्शाने के लिए कार्य करता है। 'Snd_floppy' फ़ाइल वास्तविक ड्राइवर नहीं है - यह क्लाउड स्नूपर मालवेयर का पेलोड है। जैसे ही क्लाउड स्नूपर खतरा लक्षित प्रणाली में सफलतापूर्वक प्रवेश करता है, यह कुछ बंदरगाहों का उपयोग करने वाले पिंग के लिए नजर रखेगा। विचाराधीन पिंग हमलावरों के C & C सर्वर से आने वाले पैकेट हैं। हालाँकि, इन पैकेटों में कमांड नहीं हैं, और वास्तव में, खाली हैं। इसका मतलब यह है कि फायरवॉल इन पैकेटों को बेतरतीब बंदरगाहों के माध्यम से भेजा जा सकता है क्योंकि वे हानिरहित दिखाई देंगे और यही क्लाउड स्नूपर मैलवेयर पर निर्भर करता है।
क्लाउड स्नूपर का उपयोग करने वाले अन्य पोर्ट इसे अलग-अलग कार्य करने की अनुमति देते हैं:
- 6060 - खतरे का पेलोड एक फर्जी 'snd_floppy' ड्राइवर में समाहित है, जो 6060 पोर्ट के माध्यम से प्राप्त होने वाले पिंग होते ही सिस्टम पर प्रत्यारोपित हो जाएगा।
- 8080 - अपने लक्ष्य पर जासूसी करने के लिए, खतरा 9090 पोर्ट से आने वाले ट्रैफ़िक को हाईजैक कर सकता है और इसे 2053 को पोर्ट कर सकता है।
- 9999 - खतरा गतिविधि को रोक देगा और खुद को समझौता किए गए होस्ट से हटा देगा।
सुनिश्चित करें कि आपके लिनक्स सिस्टम आपके ओएस के साथ संगत एक वास्तविक एंटी-मैलवेयर उपकरण द्वारा सुरक्षित हैं।
