Cloud Snooper

A ameaça Cloud Snooper é um malware desenvolvido para atingir os servidores Linux especificamente. Após analisar a ameaça, os pesquisadores de segurança cibernética descobriram que os autores do malware Cloud Snooper estão implementando métodos muito interessantes e inovadores no que diz respeito à comunicação da ameaça com o servidor de C&C (Comando e Controle) dos atacantes.

As Técnicas Inteligentes Usadas pelo Cloud Snooper

Os serviços, usados para interagir com a Web, utilizam determinadas portas designadas para transmitir dados. Por exemplo, o FTP usa a porta 21, o HTTPS usa a porta 443, o HTTP usa a porta 80, etc. Todas as portas entre 1 e 65535 estão disponíveis para utilização dos serviços. Enquanto os serviços baseados no Windows usam portas entre 49152 e 65535, principalmente, os sistemas UNIX tendem a diversificar mais. As portas usadas pelo malware Cloud Snooper se enquadram no seguinte intervalo - 32768 e 60999. Isso pode ser visto como tráfego legítimo, o que significa que é improvável que ele seja filtrado.

Os serviços da Web abertos na Internet geralmente têm uma porta usada para aceitar estritamente as conexões recebidas - por exemplo, uma conexão HTTP é executada pela porta 80. No entanto, essa não é a única porta usada nessa conexão - quando você tenta se conectar a um servidor via porta 80, o destinatário pode atribuir uma porta aleatória e única a você, para poder identificar o tráfego de rede. Essa técnica permite que o malware do Cloud Snooper opere silenciosamente.

A carga útil do Cloud Snooper pode representar um driver falso do Linux chamado 'snd_floppy'. A parte 'snd' do nome geralmente serve para significar um driver de áudio. O arquivo 'snd_floppy' não é um driver genuíno - é a carga útil do malware Cloud Snooper. Assim que a ameaça do Cloud Snooper penetrar no sistema de destino com sucesso, ela estará atenta aos pings que estão utilizando determinadas portas. Os pings em questão são pacotes provenientes do servidor C&C dos atacantes. No entanto, esses pacotes não contêm comandos e, de fato, estão vazios. Isso significa que os firewalls podem ignorar esses pacotes enviados por portas aleatórias, pois pareceriam inofensivos, e é nisso que o malware Cloud Snooper se baseia.

Outras portas que o Cloud Snooper utiliza permitem executar tarefas diferentes:

• 6060 - A carga útil da ameaça está contida em um driver falso 'snd_floppy' que será implantado no sistema assim que houver um ping recebido pela porta 6060.
• 8080 - Para espionar seu alvo, a ameaça pode seqüestrar o tráfego vindo da porta 9090 e redirecioná-lo para a porta 2053.
• 9999 - A ameaça interrompe a atividade e se exclui do host comprometido.

Verifique se os seus sistemas Linux estão protegidos por uma ferramenta anti-malware genuína compatível com o seu sistema operacional.