Cloud Snooper

La menace Cloud Snooper est un malware développé pour cibler spécifiquement les serveurs Linux. Après avoir analysé la menace, les chercheurs en cybersécurité ont constaté que les auteurs du malware Cloud Snooper mettent en œuvre des méthodes très intéressantes et innovantes en ce qui concerne la communication de la menace avec le serveur C&C (Command & Control) des attaquants.

Les techniques intelligentes utilisées par le Cloud Snooper

Les services, qui sont utilisés pour interagir avec le Web, utilisent certains ports désignés pour transmettre des données. Par exemple, FTP utilise le port 21, HTTPS utilise le port 443, HTTP utilise le port 80, etc. Tous les ports entre 1 et 65535 sont disponibles pour les services à utiliser. Alors que les services Windows utilisent principalement des ports entre 49152 et 65535, les systèmes UNIX ont tendance à se diversifier davantage. Les ports utilisés par le malware Cloud Snooper tombent dans la plage suivante - 32768 et 60999. Cela peut être considéré comme du trafic légitime, ce qui signifie qu'il est peu probable qu'il soit filtré.

Les services Web ouverts sur Internet ont généralement un port utilisé pour accepter strictement les connexions entrantes - par exemple, une connexion HTTP est exécutée via le port 80. Cependant, ce n'est pas le seul port utilisé dans une telle connexion - lorsque vous essayez de vous connecter à un serveur via le port 80, le destinataire peut vous attribuer un port unique et aléatoire, afin qu'il puisse identifier le trafic réseau. Cette technique permet au malware Cloud Snooper de fonctionner de manière très silencieuse.

La charge utile Cloud Snooper peut se présenter comme un faux pilote Linux appelé «snd_floppy». La partie «snd» du nom sert généralement à désigner un pilote audio. Le fichier 'snd_floppy' n'est pas un pilote authentique - c'est la charge utile du malware Cloud Snooper. Dès que la menace Cloud Snooper pénètre avec succès dans le système ciblé, elle surveillera les pings qui utilisent certains ports. Les pings en question sont des paquets provenant du serveur C&C des attaquants. Cependant, ces paquets ne contiennent pas de commandes et sont en fait vides. Cela signifie que les pare-feu peuvent ignorer ces paquets envoyés via des ports aléatoires car ils sembleraient inoffensifs, et c'est sur cela que repose le logiciel malveillant Cloud Snooper.

Les autres ports utilisés par Cloud Snooper lui permettent d'effectuer différentes tâches:

• 6060 - La charge utile de la menace est contenue dans un faux pilote 'snd_floppy' qui sera implanté sur le système dès qu'un ping sera reçu via le port 6060.
• 8080 - Pour espionner sa cible, la menace peut détourner le trafic provenant du port 9090 et le rediriger vers le port 2053.
• 9999 - La menace cesserait son activité et se supprimerait de l'hôte compromis.

Assurez-vous que vos systèmes Linux sont protégés par un véritable outil anti-malware compatible avec votre système d'exploitation.