Облако Снупер

Угроза Cloud Snooper - это вредоносная программа, разработанная специально для серверов Linux. Проанализировав угрозу, исследователи в области кибербезопасности обнаружили, что авторы вредоносного ПО Cloud Snooper внедряют очень интересные и инновационные методы в отношении передачи угрозы злоумышленнику с помощью C & C (Command & Control) сервера.

Умные методы, используемые Cloud Snooper

Службы, которые используются для взаимодействия с Интернетом, используют определенные назначенные порты для передачи данных. Например, FTP использует порт 21, HTTPS использует порт 443, HTTP использует порт 80 и т. Д. Все порты между 1 и 65535 доступны для использования службами. В то время как службы на базе Windows в основном используют порты между 49152 и 65535, системы UNIX имеют тенденцию к большей диверсификации. Порты, используемые вредоносным ПО Cloud Snooper, попадают в следующий диапазон - 32768 и 60999. Это можно рассматривать как допустимый трафик, что означает, что маловероятно, что он будет отфильтрован.

Веб-сервисы, открытые в Интернет, обычно имеют порт, используемый для строгого приема входящих соединений - например, HTTP-соединение выполняется через порт 80. Однако это не единственный порт, используемый в таком соединении, - когда вы пытаетесь подключиться к сервер через порт 80, получатель может назначить вам случайный, уникальный порт, чтобы он мог идентифицировать сетевой трафик. Этот метод позволяет вредоносной программе Cloud Snooper работать очень тихо.

Полезная нагрузка Cloud Snooper может выдавать себя за поддельный драйвер Linux, называемый snd_floppy. Часть имени 'snd' обычно служит для обозначения аудио драйвера. Файл 'snd_floppy' не является подлинным драйвером - это полезная нагрузка вредоносного ПО Cloud Snooper. Как только угроза Cloud Snooper успешно проникнет в целевую систему, она будет следить за эхо-запросами, которые используют определенные порты. Пингами являются пакеты, поступающие с сервера C & C атакующего. Однако эти пакеты не содержат команд и фактически пусты. Это означает, что брандмауэры могут игнорировать эти пакеты, отправленные через случайные порты, так как они выглядят безвредными, и именно на это полагается вредоносная программа Cloud Snooper.

Другие порты, которые использует Cloud Snooper, позволяют ему выполнять различные задачи:

• 6060 - Полезные данные угрозы содержатся в поддельном драйвере 'snd_floppy', который будет имплантирован в систему, как только будет получен эхо-запрос через порт 6060.
• 8080 - Чтобы шпионить за своей целью, угроза может перехватить трафик, исходящий из порта 9090, и перенаправить его на порт 2053.
• 9999 - угроза прекращает свою деятельность и удаляет себя с скомпрометированного хоста.

Убедитесь, что ваши системы Linux защищены подлинным средством защиты от вредоносных программ, совместимым с вашей ОС.