สิทธิ์ใช้งานหลายอุปกรณ์ (ส่วนลดตามปริมาณ)
Threat Database Malware Cloud Snooper

Cloud Snooper

โดย GoldSparrow ใน Malware
แปลเป็น:
ภาษาไทย

ภัยคุกคามของ Cloud Snooper เป็นมัลแวร์ที่พัฒนาขึ้นเพื่อกำหนดเป้าหมายเซิร์ฟเวอร์ Linux โดยเฉพาะ หลังจากการวิเคราะห์ภัยคุกคามนักวิจัยด้านความปลอดภัยในโลกไซเบอร์พบว่าผู้เขียนมัลแวร์ Cloud Snooper กำลังใช้วิธีการที่น่าสนใจและเป็นนวัตกรรมในการสื่อสารการคุกคามกับเซิร์ฟเวอร์ C&C (Command & Control) ของผู้โจมตี

เทคนิคอัจฉริยะที่ใช้โดย Cloud Snooper

บริการที่ใช้ในการโต้ตอบกับเว็บใช้พอร์ตที่กำหนดเพื่อส่งข้อมูล ตัวอย่างเช่น FTP ใช้พอร์ต 21, HTTPS ใช้พอร์ต 443, HTTP ใช้พอร์ต 80 เป็นต้นพอร์ตทั้งหมดระหว่าง 1 ถึง 65535 จะพร้อมใช้งานสำหรับบริการที่จะใช้ ในขณะที่บริการที่ใช้ Windows ใช้พอร์ตระหว่าง 49152 ถึง 65535 ส่วนใหญ่ระบบ UNIX มักจะมีความหลากหลายมากกว่า พอร์ตที่มัลแวร์ Cloud Snooper ใช้อยู่นั้นอยู่ในช่วงต่อไปนี้ - 32768 และ 60999 ซึ่งสามารถมองได้ว่าเป็นการรับส่งข้อมูลที่ถูกกฎหมายซึ่งหมายความว่าไม่น่าเป็นไปได้ที่จะถูกกรอง

บริการเว็บที่เปิดสู่อินเทอร์เน็ตมักจะมีพอร์ตที่ใช้สำหรับยอมรับการเชื่อมต่อขาเข้าอย่างเคร่งครัด - ตัวอย่างเช่นการเชื่อมต่อ HTTP จะดำเนินการผ่านพอร์ต 80 อย่างไรก็ตามนี่ไม่ใช่พอร์ตเดียวที่ใช้ในการเชื่อมต่อดังกล่าว - เมื่อคุณพยายามเชื่อมต่อกับ เซิร์ฟเวอร์ผ่านพอร์ต 80 ผู้รับอาจกำหนดพอร์ตสุ่มเฉพาะสำหรับคุณเพื่อให้สามารถระบุปริมาณการใช้งานเครือข่ายได้ เทคนิคนี้ทำให้มัลแวร์ Cloud Snooper สามารถทำงานได้อย่างเงียบ ๆ

เพย์โหลดของ Cloud Snooper อาจทำหน้าที่เป็นไดรเวอร์ Linux ปลอมที่เรียกว่า 'snd_floppy' ส่วน 'snd' ของชื่อมักจะทำหน้าที่แสดงถึงไดรเวอร์เสียง ไฟล์ 'snd_floppy' ไม่ใช่ไดรเวอร์ของแท้ - เป็นภาระของมัลแวร์ Cloud Snooper ทันทีที่การคุกคามของ Cloud Snooper เจาะระบบเป้าหมายได้สำเร็จก็จะคอยจับตาดูปิงที่ใช้พอร์ตบางตัว คำสั่ง Ping ที่เป็นปัญหาคือแพ็คเก็ตที่มาจากเซิร์ฟเวอร์ C&C ของผู้โจมตี อย่างไรก็ตามแพ็คเก็ตเหล่านี้ไม่มีคำสั่งและที่จริงแล้วว่างเปล่า ซึ่งหมายความว่าไฟร์วอลล์อาจมองข้ามแพ็กเก็ตเหล่านี้ที่ส่งผ่านพอร์ตสุ่มซึ่งจะไม่เป็นอันตรายและนี่คือสิ่งที่มัลแวร์ Cloud Snooper อาศัย

พอร์ตอื่น ๆ ที่ Cloud Snooper ใช้ทำให้สามารถทำงานต่าง ๆ ได้:

  • 6060 - เพย์โหลดของภัยคุกคามมีอยู่ในไดรเวอร์ 'snd_floppy' ปลอมที่จะถูกฝังลงในระบบทันทีที่มีการ ping ที่ได้รับผ่านพอร์ต 6060
  • 8080 - เพื่อสืบหาเป้าหมายภัยคุกคามสามารถจี้ทราฟฟิกที่มาจากพอร์ต 9090 และเปลี่ยนเส้นทางไปยังพอร์ต 2053
  • 9999 - ภัยคุกคามจะหยุดกิจกรรมและลบตัวเองออกจากโฮสต์ที่ถูกบุกรุก

ตรวจสอบให้แน่ใจว่าระบบ Linux ของคุณได้รับการปกป้องด้วยเครื่องมือป้องกันมัลแวร์ของแท้ที่เข้ากันได้กับระบบปฏิบัติการของคุณ

มาแรง

อีเมลหลอกลวง 'YouPorn'

Spam
หลังจากการตรวจสอบอีเมล 'YouPorn' อย่างละเอียด ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ยืนยันลักษณะการฉ้อโกงของพวกเขา อีเมลเหล่านี้เป็นส่วนหนึ่งของสแปมรูปแบบต่างๆ ซึ่งล้วนคล้ายกับกลยุทธ์การขู่กรรโชกทางเพศ กระทู้ที่พบบ่อยในอีเมลหลอกลวงเหล่านี้เป็นการยืนยันเท็จว่าผู้รับมีส่วนเกี่ยวข้องในเนื้อหาทางเพศที่โจ่งแจ้งซึ่งโพสต์บนเว็บไซต์ YouPorn เมื่อเร็ว ๆ นี้...

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng เป็นส่วนขยายเบราว์เซอร์ประเภทหนึ่งที่จัดการฟังก์ชันการค้นหาของเว็บเบราว์เซอร์ของผู้ใช้ โดยเปลี่ยนเส้นทางการค้นหาไปยังเครื่องมือค้นหาที่ไม่ต้องการ...

มายวอลล์เปเปอร์

Browser Hijackers
ผู้ใช้คอมพิวเตอร์มักจะพบกับซอฟต์แวร์และแอพพลิเคชั่นต่างๆ ที่ได้รับการออกแบบมาเพื่อยกระดับประสบการณ์ออนไลน์ของตน อย่างไรก็ตาม ไม่ใช่ว่าซอฟต์แวร์ทั้งหมดจะถูกสร้างขึ้นด้วยเจตนาดี...

เข้าชมมากที่สุด

Lookmovie.io ปลอดภัยหรือไม่? สกรีนช็อต

Lookmovie.io ปลอดภัยหรือไม่?

Issue
28,869
Lookmovie.io เป็นเว็บไซต์สตรีมมิ่งวิดีโอ ปัญหาคือมีการนำเสนอเนื้อหาสำหรับการสตรีมอย่างผิดกฎหมาย นอกจากนี้ ไซต์ดังกล่าวยังสร้างรายได้จากเครือข่ายโฆษณาอันธพาลอีกด้วย ด้วยเหตุนี้...

'Geek Squad' อีเมลหลอกลวง

Phishing, Spam
14,963
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรเครดิต ที่อยู่อีเมล และแม้แต่หมายเลขประกันสังคม ในบทความนี้ เราจะพูดถึงตัวการหลอกลวง หน้าตาเป็นอย่างไร อีเมลปลอมมาจากไหน ผู้หลอกลวงต้องการอะไร...
กำลังโหลด...