Cloud Snooper

A Cloud Snooper fenyegetése egy rosszindulatú program, amelyet kifejezetten a Linux szerverek célzására fejlesztettek ki. A fenyegetés elemzése után a kiberbiztonsági kutatók megállapították, hogy a Cloud Snooper malware szerzői nagyon érdekes és innovatív módszereket alkalmaznak a fenyegetés kommunikálására a támadók C&C (Command & Control) szerverével.

A Cloud Snooper által használt intelligens technikák

A weben való kommunikációra szolgáló szolgáltatások bizonyos kijelölt portokat használnak az adatok továbbításához. Például az FTP a 21. portot használja, a HTTPS a 443. portot, a HTTP a 80. portot használja, stb. Az összes 1 és 65535 közötti port elérhető a szolgáltatások számára. Míg a Windows alapú szolgáltatások elsősorban a 49152 és 65535 közötti portokat használják, a UNIX rendszerek inkább diverzifikálnak. A Cloud Snooper malware által használt portok a következő tartományba esnek - 32768 és 60999. Ez legitim forgalomnak tekinthető, ami azt jelenti, hogy valószínűtlen, hogy kiszűrjük.

Az internethez megnyitott webszolgáltatások általában tartalmaznak egy portot, amely szigorúan bejövő kapcsolatok elfogadására szolgál - például egy HTTP-kapcsolatot a 80-as porton keresztül hajtanak végre. Ez azonban nem az egyetlen ilyen portban használt port - amikor egy A 80-as porton keresztül levő kiszolgálón a címzett véletlenszerű, egyedi portot rendelhet neked, hogy képes legyen azonosítani a hálózati forgalmat. Ez a technika lehetővé teszi a Cloud Snooper malware nagyon csendes működését.

A Cloud Snooper hasznos teher hamis Linux-illesztőprogramként jelentheti 'snd_floppy' néven. A név 'snd' része általában az audio meghajtó jelzésére szolgál. Az 'snd_floppy' fájl nem eredeti illesztőprogram - ez a Cloud Snooper rosszindulatú program hasznos teherje. Amint a Cloud Snooper fenyegetése sikeresen behatol a célzott rendszerbe, figyelni fogja azokat a ping-eket, amelyek bizonyos portokat használnak. A kérdéses ping csomagok a támadók C & C szerveréből származnak. Ezek a csomagok azonban nem tartalmaznak parancsokat, és valójában üresek. Ez azt jelenti, hogy a tűzfalak figyelmen kívül hagyhatják ezeket a véletlenszerű portokon keresztül küldött csomagokat, mivel ártalmatlannak tűnnek, és erre támaszkodik a Cloud Snooper rosszindulatú program.

Más olyan portok, amelyeket a Cloud Snooper használ, különböző feladatokat hajthat végre:

• 6060 - A fenyegetés hasznos terhelését egy hamis „snd_floppy” illesztőprogram tartalmazza, amelyet a rendszerbe implantálnak, mihelyt a 6060 porton keresztül érkeznek egy ping.
• 8080 - A cél megkísérlése érdekében a fenyegetés eltérítheti a 9090-es portból származó forgalmat, és átirányíthatja a 2053-as portra.
• 9999 - A fenyegetés megszünteti a tevékenységet, és törli magát a veszélyeztetett gazdagépről.

Győződjön meg arról, hogy a Linux rendszereit egy valódi rosszindulatú programok elleni eszköz védi az operációs rendszerével.