Cloud Snooper

Cloud Snooper-trusselen er en malware utviklet for å målrette Linux-servere spesielt. Etter å ha analysert trusselen fant cybersecurity-forskere at forfatterne av Cloud Snooper malware implementerer veldig interessante og innovative metoder når det gjelder kommunikasjonen av trusselen med C&C (Command & Control) serveren til angriperne.

De smarte teknikkene som brukes av Cloud Snooper

Tjenester som brukes til å samhandle med nettet, bruker visse utpekte porter for å overføre data. For eksempel bruker FTP port 21, HTTPS bruker port 443, HTTP bruker port 80 osv. Alle porter mellom 1 og 65535 er tilgjengelige for tjenester å bruke. Mens Windows-baserte tjenester bruker porter mellom 49152 og 65535 stort sett, har UNIX-systemer en tendens til å diversifisere mer. Portene som brukes av Cloud Snooper-malware, faller under følgende område - 32768 og 60999. Dette kan sees på som legitim trafikk, noe som betyr at det er lite sannsynlig at den vil bli filtrert.

Webtjenester åpnet for Internett har vanligvis en port som brukes til å akseptere innkommende tilkoblinger strengt - for eksempel blir en HTTP-forbindelse utført via port 80. Dette er imidlertid ikke den eneste porten som brukes i en slik forbindelse - når du prøver å koble til en server via port 80, kan mottakeren tildele en tilfeldig, unik port til deg, slik at den kan identifisere nettverkstrafikken. Denne teknikken gjør det mulig for Cloud Snooper-malware å fungere veldig lydløst.

Cloud Snooper nyttelast kan virke som en falsk Linux-driver som kalles 'snd_floppy.' Den 'delen' av navnet tjener vanligvis til å betegne en lyddriver. 'Snd_floppy' -filen er ikke en ekte driver - det er nyttelasten til Cloud Snooper-malware. Så snart Cloud Snooper-trusselen trenger gjennom det målrettede systemet, vil den holde øye med pinger som bruker visse porter. Pingene det gjelder er pakker som kommer fra angripernes C & C-server. Imidlertid inneholder disse pakkene ikke kommandoer, og er faktisk tomme. Dette betyr at brannmurer kan overse disse pakkene som sendes gjennom tilfeldige porter, da de vil virke ufarlige, og det er dette Cloud Snooper-malware stoler på.

Andre porter som Cloud Snooper bruker, lar den utføre forskjellige oppgaver:

• 6060 - Trusselens nyttelast er inneholdt i en falsk 'snd_floppy' driver som vil bli implantert på systemet så snart det er en ping mottatt via 6060-porten.
• 8080 - For å spionere etter målet sitt, kan trusselen kapre trafikk fra havn 9090 og omdirigere den til havn 2053.
• 9999 - Trusselen ville stoppe aktiviteten og slette seg selv fra den kompromitterte verten.

Forsikre deg om at Linux-systemene dine er beskyttet av et ekte anti-malware-verktøy som er kompatibelt med operativsystemet ditt.