Threat Database Malware Cloud Snooper

Cloud Snooper

Grožnja Cloud Snooper je zlonamerna programska oprema, razvita posebej za ciljanje strežnikov Linux. Po analizi grožnje so raziskovalci kibernetske varnosti ugotovili, da avtorji zlonamerne programske opreme Cloud Snooper izvajajo zelo zanimive in inovativne metode v zvezi s komunikacijo grožnje s strežnikom C&C (Command & Control) napadalcev.

Pametne tehnike, ki jih uporablja Cloud Snooper

Storitve, ki se uporabljajo za interakcijo s spletom, za prenos podatkov uporabljajo določena določena vrata. Na primer, FTP uporablja vrata 21, HTTPS uporablja vrata 443, HTTP vrata 80, itd. Za dostop do storitev so na voljo vsa vrata med 1 in 65535. Medtem ko storitve, ki temeljijo na sistemu Windows, večinoma uporabljajo vrata med 49152 in 65535, pa se sistemi UNIX ponavadi bolj širijo. Pristanišča, ki jih uporablja zlonamerna programska oprema Cloud Snooper, spadajo pod naslednji razpon - 32768 in 60999. To je mogoče razumeti kot zakonit promet, kar pomeni, da je malo verjetno, da se bo filtriral.

Spletne storitve, ki so odprte v internet, imajo običajno vrata, ki se uporabljajo za strogo sprejemanje dohodnih povezav - na primer povezava HTTP se izvede prek vrat 80. Vendar to ni edino pristanišče, ki se uporablja v taki povezavi - ko se poskusite povezati z strežnik prek vrat 80, vam lahko prejemnik dodeli naključno edinstveno vrata, tako da bo lahko identificiral omrežni promet. Ta tehnika omogoča, da zlonamerna programska oprema Cloud Snooper deluje zelo tiho.

Uporabna obremenitev Cloud Snooperja lahko predstavlja lažni gonilnik Linuxa, imenovan 'snd_floppy.' Del "snd" imena ponavadi pomeni zvočni gonilnik. Datoteka 'snd_floppy' ni pristni gonilnik - to je koristno število zlonamerne programske opreme Cloud Snooper. Takoj, ko grožnja Cloud Snooper uspešno prodre v ciljni sistem, bo pazila na pinge, ki uporabljajo določena pristanišča. Zadevni pingi so paketi, ki prihajajo iz C&C strežnika napadalcev. Vendar ti paketi ne vsebujejo ukazov in so pravzaprav prazni. To pomeni, da lahko požarni zidovi spregledajo te pakete, poslane skozi naključna vrata, saj bi bili videti neškodljivi, in na to se zanaša zlonamerna programska oprema Cloud Snooper.

Druga vrata, ki jih uporablja Cloud Snooper, omogočajo izvajanje različnih nalog:

  • 6060 - Obremenitev grožnje je v lažnem gonilniku snd_floppy, ki bo vgrajen v sistem takoj, ko bo prek vrat 6060 prejet ping.
  • 8080 - Če bi vohunila za svojim ciljem, lahko grožnja ugrabi promet, ki prihaja iz pristanišča 9090, in ga preusmeri na vrata 2053.
  • 9999 - Grožnja bi prenehala delovati in se izbrisati iz ogroženega gostitelja.

Prepričajte se, da so vaši sistemi Linux zaščiteni s pristnim orodjem za preprečevanje zlonamerne programske opreme, združljivim z vašim operacijskim sistemom.

V trendu

Najbolj gledan

Nalaganje...