Cloud Snooper

Ang banta sa Cloud Snooper ay isang malware na binuo upang partikular na ma-target ang mga server ng Linux. Matapos suriin ang pagbabanta, natagpuan ng mga mananaliksik ng cybersecurity na ang mga may-akda ng Cloud Snooper malware ay nagpapatupad ng napaka-kawili-wili at makabagong pamamaraan sa pagsasaalang-alang sa komunikasyon ng banta kasama ang C&C (Command & Control) server ng mga umaatake.

Ang Smart Techniques na Ginamit ng Cloud Snooper

Ang mga serbisyo, na ginagamit upang makipag-ugnay sa Web, ay gumagamit ng ilang mga itinalagang port upang maipadala ang data. Halimbawa, ang FTP ay gumagamit ng port 21, ang HTTPS ay gumagamit ng port 443, ang HTTP ay gumagamit ng port 80, atbp. Lahat ng mga port sa pagitan ng 1 at 65535 ay magagamit para sa mga serbisyo upang magamit. Habang ang mga serbisyo na nakabase sa Windows ay gumagamit ng mga port sa pagitan ng 49152 at 65535 na karamihan, ang mga system ng UNIX ay may posibilidad na pag-iba-iba pa. Ang mga port na ginamit ng Cloud Snooper malware ay nahuhulog sa ilalim ng sumusunod na saklaw - 32768 at 60999. Maaari itong makita bilang lehitimong trapiko, na nangangahulugang hindi malamang na mai-filter ito.

Ang mga serbisyo sa web na binuksan sa Internet ay karaniwang may port na ginagamit para sa pagtanggap ng mga papasok na koneksyon na mahigpit - halimbawa, ang isang koneksyon sa HTTP ay naisakatuparan sa pamamagitan ng port 80. Gayunpaman, hindi ito lamang ang port na ginamit sa isang koneksyon - kapag sinubukan mong kumonekta sa isang server sa pamamagitan ng port 80, ang tatanggap ay maaaring magtalaga ng isang random, natatanging port sa iyo, upang makilala mo ang trapiko sa network. Ang pamamaraan na ito ay nagbibigay-daan sa Cloud Snooper malware na gumana nang tahimik.

Ang Cloud Snooper payload ay maaaring magpose bilang isang maling driver ng Linux na tinatawag na 'snd_floppy.' Ang 'snd' na bahagi ng pangalan ay karaniwang nagsisilbi upang tukuyin ang isang driver ng audio. Ang file na 'snd_floppy' ay hindi isang tunay na driver - ito ang payload ng Cloud Snooper malware. Sa sandaling natagumpay ang banta sa Cloud Snooper na matagumpay na na-target ang system, mapapansin nito ang mga pings na gumagamit ng ilang mga port. Ang pinag-uusapan ay mga pakete na nagmula sa C&C server ng mga umaatake. Gayunpaman, ang mga packet na ito ay hindi naglalaman ng mga utos, at, sa katunayan, walang laman. Nangangahulugan ito na ang mga firewall ay maaaring makaligtaan ang mga packet na ipinadala sa pamamagitan ng mga random na mga port na ito ay lalabas na hindi nakakapinsala, at ito ang umaasa sa Cloud Snooper malware.

Ang iba pang mga port na ginagamit ng Cloud Snooper ay nagbibigay-daan sa ito upang maisagawa ang iba't ibang mga gawain:

• 6060 - Ang kabayaran ng banta ay nakapaloob sa isang driver ng bogus 'snd_floppy' na itatanim sa system sa sandaling mayroong isang ping na natanggap sa pamamagitan ng 6060 port.
• 8080 - Upang matiktik ang target nito, ang banta ay maaaring mag-hijack ng trapiko na nagmumula sa port 9090 at mai-redirect ito sa port 2053.
• 9999 - Ang banta ay titigil sa aktibidad at tatanggalin ang sarili mula sa nakompromiso na host.

Tiyaking protektado ang iyong mga system ng Linux ng isang tunay na tool na anti-malware na katugma sa iyong OS.