雲窺探者

雲窺探者說明

Cloud Snooper威脅是一種專門針對Linux服務器開發的惡意軟件。在分析了威脅之後,網絡安全研究人員發現,Cloud Snooper惡意軟件的作者正在實施非常有趣和創新的方法,以與攻擊者的C&C(命令與控制)服務器進行威脅通信。

Cloud Snooper使用的智能技術

用於與Web交互的服務利用某些指定的端口來傳輸數據。例如,FTP使用端口21,HTTPS使用端口443,HTTP使用端口80,等等。所有1到65535之間的端口可供服務使用。儘管基於Windows的服務通常使用49152和65535之間的端口,但UNIX系統趨向於多樣化。 Cloud Snooper惡意軟件使用的端口在以下範圍內-32768和60999。這可以視為合法流量,這意味著不太可能對其進行過濾。

向Internet開放的Web服務通常具有嚴格用於接受傳入連接的端口-例如,HTTP連接是通過端口80執行的。但是,當您嘗試連接到Internet時,這不是此連接中使用的唯一端口。服務器通過端口80進行配置,收件人可以為您分配一個隨機的唯一端口,以便它能夠識別網絡流量。此技術使Cloud Snooper惡意軟件能夠非常安靜地運行。

Cloud Snooper有效負載可能構成了名為“ snd_floppy”的虛假Linux驅動程序。名稱的“ snd”部分通常用於表示音頻驅動程序。 “ snd_floppy”文件不是真正的驅動程序,而是Cloud Snooper惡意軟件的有效負載。一旦Cloud Snooper威脅成功穿透目標系統,它將密切注意利用某些端口的ping。有問題的ping是來自攻擊者的C&C服務器的數據包。但是,這些數據包不包含命令,並且實際上為空。這意味著防火牆可能會忽略通過隨機端口發送的這些數據包,因為它們看起來像是無害的,而這正是Cloud Snooper惡意軟件所依賴的。

Cloud Snooper利用的其他端口允許它執行不同的任務:

  • 6060 –威脅的有效載荷包含在虛假的“ snd_floppy”驅動程序中,一旦通過6060端口收到ping命令,該驅動程序就會植入系統中。
  • 8080 –監視目標,威脅可以劫持來自端口9090的流量並將其重定向到端口2053。
  • 9999 –威脅將停止活動並從受感染的主機中刪除自身。

確保您的Linux系統受到與您的操作系統兼容的正版反惡意軟件工具的保護。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。


不允許使用HTML。