Bulut Snooper

Cloud Snooper tehdidi özellikle Linux sunucularını hedeflemek için geliştirilmiş bir kötü amaçlı yazılımdır. Siber güvenlik araştırmacıları, tehdidi analiz ettikten sonra, Cloud Snooper kötü amaçlı yazılımının yazarlarının, tehdidin saldırganların C&C (Command & Control) sunucusu ile iletişimine ilişkin olarak çok ilginç ve yenilikçi yöntemler uyguladıklarını keşfettiler.

Cloud Snooper'ın Kullandığı Akıllı Teknikler

Web ile etkileşim için kullanılan hizmetler, veri iletmek için belirli bağlantı noktalarını kullanır. Örneğin, FTP 21 numaralı bağlantı noktasını, HTTPS 443 numaralı bağlantı noktasını, HTTP 80 numaralı bağlantı noktasını vb. Kullanır. 1 ile 65535 arasındaki tüm bağlantı noktaları hizmetlerin kullanımına açıktır. Windows tabanlı hizmetler çoğunlukla 49152 ve 65535 arasındaki bağlantı noktalarını kullanırken, UNIX sistemleri daha çok çeşitlenme eğilimindedir. Cloud Snooper kötü amaçlı yazılımı tarafından kullanılan bağlantı noktaları aşağıdaki aralıkta yer alır - 32768 ve 60999. Bu yasal trafik olarak görülebilir, yani filtrelenmesi olası değildir.

İnternete açılan web servislerinde genellikle gelen bağlantıları kesinlikle kabul etmek için kullanılan bir port bulunur - örneğin, 80 numaralı port üzerinden bir HTTP bağlantısı yürütülür. Ancak, bu tür bir bağlantıda kullanılan tek port değildir - 80 numaralı bağlantı noktasını kullanarak, alıcı size rasgele, benzersiz bir bağlantı noktası atayabilir, böylece ağ trafiğini tanımlayabilir. Bu teknik, Cloud Snooper kötü amaçlı yazılımının çok sessiz çalışmasını sağlar.

Cloud Snooper yükü, 'snd_floppy' adı verilen sahte bir Linux sürücüsü olarak görünebilir. Adın 'snd' bölümü genellikle bir ses sürücüsünü belirtmeye yarar. 'Snd_floppy' dosyası gerçek bir sürücü değil - Cloud Snooper kötü amaçlı yazılımının yüküdür. Cloud Snooper tehdidi hedeflenen sisteme başarılı bir şekilde girer girmez, belirli portları kullanan pinglere göz kulak olacak. Söz konusu pingler, saldırganların C&C sunucusundan gelen paketlerdir. Ancak, bu paketler komut içermez ve aslında boştur. Bu, güvenlik duvarlarının zararsız göründükleri için rasgele bağlantı noktaları üzerinden gönderilen bu paketleri göz ardı edebileceği ve Cloud Snooper kötü amaçlı yazılımının da buna dayanacağı anlamına gelir.

Cloud Snooper'ın kullandığı diğer bağlantı noktaları farklı görevler gerçekleştirmesine izin verir:

• 6060 - Tehdidin yükü, 6060 bağlantı noktası üzerinden alınan bir ping olur olmaz sisteme yerleştirilecek sahte bir 'snd_floppy' sürücüsünde bulunuyor.
• 8080 - Hedefini gözetlemek için, tehdit 9090 numaralı bağlantı noktasından gelen trafiği ele geçirebilir ve 2053 numaralı bağlantı noktasına yönlendirebilir.
• 9999 - Tehdit, etkinliği durdurur ve güvenliği ihlal edilmiş ana bilgisayardan siler.

Linux sistemlerinizin işletim sisteminizle uyumlu orijinal bir kötü amaçlı yazılımdan koruma aracıyla korunduğundan emin olun.