云窥探者

Cloud Snooper威胁是一种专门针对Linux服务器开发的恶意软件。在分析了威胁之后，网络安全研究人员发现，Cloud Snooper恶意软件的作者正在实施非常有趣和创新的方法，以与攻击者的C＆C（命令与控制）服务器进行威胁通信。

Cloud Snooper使用的智能技术

用于与Web交互的服务利用某些指定的端口来传输数据。例如，FTP使用端口21，HTTPS使用端口443，HTTP使用端口80，等等。所有1到65535之间的端口可供服务使用。尽管基于Windows的服务大多使用49152和65535之间的端口，但UNIX系统趋向于多样化。 Cloud Snooper恶意软件使用的端口在以下范围内-32768和60999。这可以视为合法流量，这意味着不太可能对其进行过滤。

向Internet开放的Web服务通常具有严格用于接受传入连接的端口-例如，HTTP连接是通过端口80执行的。但是，当您尝试连接到Internet时，这不是该连接中使用的唯一端口。服务器通过端口80进行配置，收件人可以为您分配一个随机的唯一端口，以便它能够识别网络流量。此技术使Cloud Snooper恶意软件能够非常安静地运行。

Cloud Snooper有效负载可能构成了名为“ snd_floppy”的虚假Linux驱动程序。名称的“ snd”部分通常用于表示音频驱动程序。 “ snd_floppy”文件不是真正的驱动程序，而是Cloud Snooper恶意软件的有效负载。一旦Cloud Snooper威胁成功穿透目标系统，它将密切注意利用某些端口的ping。有问题的ping是来自攻击者的C＆C服务器的数据包。但是，这些数据包不包含命令，并且实际上为空。这意味着防火墙可能会忽略通过随机端口发送的这些数据包，因为它们看起来像是无害的，而这正是Cloud Snooper恶意软件所依赖的。

Cloud Snooper利用的其他端口允许它执行不同的任务：

• 6060 –威胁的有效载荷包含在虚假的“ snd_floppy”驱动程序中，一旦通过6060端口收到ping命令，该驱动程序就会植入系统中。
• 8080 –要监视目标，威胁可以劫持来自端口9090的流量并将其重定向到端口2053。
• 9999 –威胁将停止活动并从受感染的主机中删除自身。

确保您的Linux系统受到与您的操作系统兼容的正版反恶意软件工具的保护。