Cloud Snooper

La amenaza Cloud Snooper es un malware desarrollado específicamente para servidores Linux. Después de analizar la amenaza, los investigadores de ciberseguridad descubrieron que los autores del malware Cloud Snooper están implementando métodos muy interesantes e innovadores con respecto a la comunicación de la amenaza con el servidor C&C (Command & Control) de los atacantes.

Las técnicas inteligentes utilizadas por Cloud Snooper

Los servicios, que se utilizan para interactuar con la Web, utilizan ciertos puertos designados para transmitir datos. Por ejemplo, FTP usa el puerto 21, HTTPS usa el puerto 443, HTTP usa el puerto 80, etc. Todos los puertos entre 1 y 65535 están disponibles para que los servicios los utilicen. Mientras que los servicios basados en Windows usan puertos entre 49152 y 65535 principalmente, los sistemas UNIX tienden a diversificarse más. Los puertos utilizados por el malware Cloud Snooper se encuentran en el siguiente rango: 32768 y 60999. Esto puede verse como tráfico legítimo, lo que significa que es poco probable que se filtre.

Los servicios web abiertos a Internet generalmente tienen un puerto utilizado para aceptar estrictamente las conexiones entrantes, por ejemplo, una conexión HTTP se ejecuta a través del puerto 80. Sin embargo, este no es el único puerto utilizado en dicha conexión, cuando intenta conectarse a un servidor a través del puerto 80, el destinatario puede asignarle un puerto aleatorio y único para que pueda identificar el tráfico de la red. Esta técnica permite que el malware Cloud Snooper funcione de manera muy silenciosa.

La carga útil de Cloud Snooper puede hacerse pasar por un controlador falso de Linux llamado 'snd_floppy'. La parte 'snd' del nombre generalmente sirve para indicar un controlador de audio. El archivo 'snd_floppy' no es un controlador genuino, es la carga útil del malware Cloud Snooper. Tan pronto como la amenaza Cloud Snooper penetre con éxito en el sistema objetivo, estará atento a los pings que utilizan ciertos puertos. Los pings en cuestión son paquetes que provienen del servidor C&C de los atacantes. Sin embargo, estos paquetes no contienen comandos y, de hecho, están vacíos. Esto significa que los firewalls pueden pasar por alto estos paquetes enviados a través de puertos aleatorios, ya que parecerían inofensivos, y esto es en lo que se basa el malware Cloud Snooper.

Otros puertos que utiliza Cloud Snooper le permiten realizar diferentes tareas:

• 6060 : la carga útil de la amenaza está contenida en un controlador falso 'snd_floppy' que se implantará en el sistema tan pronto como se reciba un ping a través del puerto 6060.
• 8080 - Para espiar a su objetivo, la amenaza puede secuestrar el tráfico proveniente del puerto 9090 y redirigirlo al puerto 2053.
• 9999 : la amenaza cesaría la actividad y se eliminaría del host comprometido.

Asegúrese de que sus sistemas Linux estén protegidos por una herramienta antimalware genuina compatible con su sistema operativo.