雲窺探者

Cloud Snooper威脅是一種專門針對Linux服務器開發的惡意軟件。在分析了威脅之後，網絡安全研究人員發現，Cloud Snooper惡意軟件的作者正在實施非常有趣和創新的方法，以與攻擊者的C＆C（命令與控制）服務器進行威脅通信。

Cloud Snooper使用的智能技術

用於與Web交互的服務利用某些指定的端口來傳輸數據。例如，FTP使用端口21，HTTPS使用端口443，HTTP使用端口80，等等。所有1到65535之間的端口可供服務使用。儘管基於Windows的服務通常使用49152和65535之間的端口，但UNIX系統趨向於多樣化。 Cloud Snooper惡意軟件使用的端口在以下範圍內-32768和60999。這可以視為合法流量，這意味著不太可能對其進行過濾。

向Internet開放的Web服務通常具有嚴格用於接受傳入連接的端口-例如，HTTP連接是通過端口80執行的。但是，當您嘗試連接到Internet時，這不是此連接中使用的唯一端口。服務器通過端口80進行配置，收件人可以為您分配一個隨機的唯一端口，以便它能夠識別網絡流量。此技術使Cloud Snooper惡意軟件能夠非常安靜地運行。

Cloud Snooper有效負載可能構成了名為“ snd_floppy”的虛假Linux驅動程序。名稱的“ snd”部分通常用於表示音頻驅動程序。 “ snd_floppy”文件不是真正的驅動程序，而是Cloud Snooper惡意軟件的有效負載。一旦Cloud Snooper威脅成功穿透目標系統，它將密切注意利用某些端口的ping。有問題的ping是來自攻擊者的C＆C服務器的數據包。但是，這些數據包不包含命令，並且實際上為空。這意味著防火牆可能會忽略通過隨機端口發送的這些數據包，因為它們看起來像是無害的，而這正是Cloud Snooper惡意軟件所依賴的。

Cloud Snooper利用的其他端口允許它執行不同的任務：

• 6060 –威脅的有效載荷包含在虛假的“ snd_floppy”驅動程序中，一旦通過6060端口收到ping命令，該驅動程序就會植入系統中。
• 8080 –監視目標，威脅可以劫持來自端口9090的流量並將其重定向到端口2053。
• 9999 –威脅將停止活動並從受感染的主機中刪除自身。

確保您的Linux系統受到與您的操作系統兼容的正版反惡意軟件工具的保護。