クラウドスヌーパー

Cloud Snooperの脅威は、Linuxサーバーを特に対象とするために開発されたマルウェアです。脅威を分析した後、サイバーセキュリティ研究者は、Cloud Snooperマルウェアの作成者が、攻撃者のC＆C（コマンド＆コントロール）サーバーとの脅威の通信に関して非常に興味深い革新的な方法を実装していることを発見しました。

クラウドスヌーパーが使用するスマートテクニック

Webとの対話に使用されるサービスは、特定の指定ポートを使用してデータを送信します。たとえば、FTPはポート21を使用し、HTTPSはポート443を使用し、HTTPはポート80を使用します。1〜65535のすべてのポートは、サービスで利用できます。 Windowsベースのサービスは主に49152〜65535のポートを使用しますが、UNIXシステムはさらに多様化する傾向があります。 Cloud Snooperマルウェアが使用するポートは、32768と60999の範囲に分類されます。これは正当なトラフィックと見なすことができます。つまり、フィルタリングされる可能性は低いということです。

インターネットに開かれたWebサービスには通常、着信接続を厳密に受け入れるために使用されるポートがあります。たとえば、HTTP接続はポート80を介して実行されます。ただし、サーバーはポート80を介して、受信者がネットワークトラフィックを識別できるように、ランダムで一意のポートを割り当てることができます。この手法により、Cloud Snooperマルウェアは非常に静かに動作できます。

Cloud Snooperペイロードは、「snd_floppy」と呼ばれる偽のLinuxドライバーを装います。名前の「snd」部分は通常、オーディオドライバーを示します。 「snd_floppy」ファイルは本物のドライバーではありません。CloudSnooperマルウェアのペイロードです。 Cloud Snooperの脅威が標的のシステムに侵入するとすぐに、特定のポートを使用しているpingに注意を払っています。問題のpingは、攻撃者のC＆Cサーバーからのパケットです。ただし、これらのパケットにはコマンドが含まれておらず、実際には空です。これは、無害に見えるようにファイアウォールがランダムなポートを介して送信されたこれらのパケットを見落とす可能性があることを意味し、これがCloud Snooperマルウェアが依存しているものです。

Cloud Snooperが使用する他のポートでは、さまざまなタスクを実行できます。

• 6060 –脅威のペイロードは偽の「snd_floppy」ドライバーに含まれており、6060ポート経由でpingを受信するとすぐにシステムに埋め込まれます。
• 8080 –ターゲットをスパイするために、脅威はポート9090からのトラフィックを乗っ取り、ポート2053にリダイレクトできます。
• 9999 –脅威は活動を停止し、侵入先のホストから自身を削除します。

Linuxシステムが、OSと互換性のある正規のマルウェア対策ツールによって保護されていることを確認してください。