Ataki internetowe 2005

W ciągu ostatnich kilku lat firmy z branży bezpieczeństwa internetowego zaobserwowały znaczny wzrost liczby ataków internetowych zarówno na użytkowników korporacyjnych, jak i domowych. Dość wcześnie dostrzegła ten trend firma Kaspersky Lab, stając się jednym z pionierów w rozwijaniu i rozmieszczaniu w Sieci specjalnych narzędzi monitorujących.

Od lipca 2001 roku, za pomocą specjalnej technologii Smallpot, Kaspersky Lab zdołał zebrać dane o milionach sond i ataków internetowych. Na podstawie tych informacji powstały dokładne statystyki na temat występowania w Internecie różnych rodzajów złośliwego oprogramowania oraz ataków hakerów. Co więcej, umożliwiły one firmie Kaspersky Lab stworzenie rozwiązań charakteryzujących się najwyższymi współczynnikami wykrywalności oraz najszybszą reakcją na nowe, nieznane zagrożenia.

Źródłem większości danych statystycznych dostępnych w Internecie są raporty programów typu firewall zawierające numery zablokowanych portów TCP/IP. Raporty te dają dość dobre wyobrażenie na temat możliwej liczby komputerów, które zostały zainfekowane określonym rodzajem złośliwego oprogramowania lub użyte przez hakerów do przeprowadzenia ataków internetowych. Nie różnicują jednak exploitów, przy pomocy których hakerzy włamują się do systemów. Aby uzyskać tak dokładne dane, potrzebne jest specjalne oprogramowanie, które będzie gromadziło nie tylko numer portu, ale także dane przesyłane podczas ataku. Takie możliwości posiada technologia Smallpot. Zwykle raporty uwzględniają tylko ataki internetowe, niemal zupełnie pomijając próby ekstrakcji danych (ang. data mining) czy "sondy". Tymczasem większość ataków na firmy poprzedza skanowanie portów przeprowadzane przez sondy, które zbierają informacje na temat różnych usług udostępnianych przez Internet z serwerów firmy. Sondy te same w sobie nie są inwazyjne, zwykle jednak poprzedzają precyzyjne ataki exploita, lub ich grup. Mogą one posłużyć do wczesnego rozpoznania ataku na określony serwer oraz dynamicznego zastosowania reguł, które zablokują próby uzyskania dostępu do systemu, jeszcze zanim haker będzie miał szansę wykorzystania przejętych informacji.

W niniejszym raporcie przyjrzymy się nie tylko bezpośrednim atakom internetowym, ale również różnym typom sond wykorzystywanym do zbierania informacji i poprzedzającym ataki. Tym samym ukażemy, w jaki sposób ewoluowały techniki i procedury hakerskie.

W statystyce zawsze należy uwzględnić błędy. Aby zminimalizować ich wpływ na ostateczne wyniki i przedstawić jak najbardziej realistyczny obraz zjawiska, sieć sensorów należy rozmieścić równomiernie w całej przestrzeni IP Internetu (oznacza to jak najwięcej węzłów w jak największej ilości państw). Sieć Smallpot obejmuje maszyny zlokalizowane na całym świecie, a wiele z węzłów znajduje się w Północnej Ameryce, Europie i Azji. Lata badań prowadzonych przez Kaspersky Lab wykazały, że właśnie te maszyny stają się pierwszym celem nowych ataków. Poza tym, węzły zlokalizowane w mniej zaludnionych przestrzeniach IP zapewniają uzyskanie informacji nie tylko o najbardziej rozpowszechnionych atakach, ale także exploitach, które występują lokalnie i są niebezpieczne tylko dla użytkowników danego obszaru.

Przyjrzyjmy się niektórym informacjom, jakie udało się uzyskać dzięki sieci Smallpot w 2005 roku.

• 20 najpopularniejszych sond i ataków internetowych
• 10 najpopularniejszych luk wykorzystywanych do ataków internetowych
• 20 najpopularniejszych portów wykorzystywanych do ataków internetowych
• Rozkład geograficzny ataków i sond internetowych
• Ważne łaty
• Wnioski

20 najpopularniejszych sond i ataków internetowych w 2005 r.

Sonda HTTP GET Generic należała bez wątpienia do najczęstszych incydentów "przechwyconych" w 2005 roku przez komputery tworzące sieć Smallpot. Według specjalistów z firmy Kaspersky Lab, sondy te przeprowadzane są przez automatyczne narzędzie, za pomocą którego spamerzy wyszukują w Internecie otwarte serwery proxy, wykorzystywane następnie do rozsyłania spamu. Sondy te pozwalają również na zebranie informacji o serwerze HTTP, które mogą posłużyć do zlokalizowania w nim luk.

Na początku stycznia 2005 roku pojawił się robak Dipnet, który do maja 2005 roku królował na listach najpopularniejszych szkodników. Po dużej liczbie ataków w styczniu, w maju pojawiła się ogromna fala sond, które próbowały odnaleźć zainfekowane tym robakiem maszyny i przejąć nad nimi kontrolę. Dipnet.a zawiera backdoora, który wykorzystuje port 11768 i pozwala hakerowi na przejęcie pełnej kontroli nad zainfekowanym systemem, który może być następnie wykorzystywany do dalszego rozsyłania złośliwego oprogramowania oraz spamu.

Robak Slammer został wykryty w styczniu 2003 i spowodował wtedy jedną z największych epidemii roku. Rozprzestrzeniając się poprzez port UDP 1434, Slammer zainfekował ogromną liczbę komputerów. Do tej pory, prawie dwa lata po pierwszej epidemii, pozostaje jednym z najpopularniejszych robaków rozprzestrzeniających się poprzez Internet. Poniższa tabela ukazuje rozkład procentowy ataków Slammera w poszczególnych miesiącach 2005 roku:

Jak wynika z powyższej tabeli oraz rozkładu procentowego ataków Slammera według adresu źródłowego IP w 2005 roku, robak ten nie rozprzestrzenia się już tak szybko. Z drugiej strony zainfekowane komputery w dużej mierze nie są leczone, co oznacza, że Slammer nie zniknie jeszcze przez jakiś czas ze sceny.

Radmin (wersje starsze niż 2.2) jest programem do zdalnej administracji komputerów PC, stosowanym zarówno przez użytkowników domowych, jak i korporacje w celu ułatwienia administratorom instalacji uaktualnień. Ponieważ Radmin jest aplikacją komercyjną, nie wszystkie programy antywirusowe wykrywają go jako złośliwe oprogramowanie. Z tego powodu aplikacja ta często wykorzystywana jest przez hakerów chcących zapewnić sobie dostęp do systemu. Domyślnie Radmin wykorzystuje port TCP 4899. W rezultacie, program ten jest doskonałym narzędziem do łamania haseł metodą brute force, który w 2005 roku stanowił ponad 8% wszystkich sond i ataków internetowych.

Biuletyn bezpieczeństwa Microsoft MS03-007, opublikowany w marcu 2003, opisuje przepełnienie bufora w ntdll.dll, które może zostać wykorzystane poprzez WebDAV, implementację Distributed Authoring and Versioning w IIS. Od momentu opublikowania informacji o luce w Internecie pojawiło się wiele narzędzi hakerskich automatycznie skanujących w poszukiwaniu serwerów, do których można się w ten sposób włamać. W 2005 roku był to najbardziej popularny wśród hakerów wektor ataków.

Miejsce 6 w rankingu 20 najpopularniejszych sond i ataków internetowych w 2005 zajmują sondy Microsoft SQL. Sprawdzają one, czy pod danym adresem IP znajduje się serwer MSSQL. Sondy te wykorzystywane są do określenia różnych parametrów protokołów w celu dobrania odpowiedniego exploita dla zainstalowanej na komputerze wersji MSSQL lub odgadnięcia jednego z haseł administracyjnych dla serwera SQL, poprzedzającego atak brute force. W 2002 roku robak Spida.a wykorzystał tą metodę do wywołania poważnej ogólnoświatowej epidemii, której głównym celem stała się Korea.

Inną usługą będącą częstym celem narzędzi łamiących hasła metodą brute force jest Secure Shell Server (SSH). Większość z tych narzędzi próbuje zalogować się do systemu przy użyciu listy popularnych haseł i nazw użytkowników. Oczywiście nie mogą one posłużyć do przeprowadzenia ataków internetowych na dużą skalę, można natomiast wykorzystać je do zidentyfikowania niewielkiej liczby komputerów, a następnie przeprowadzić z nich bardziej lub mniej anonimowe ataki.

Błąd przepełnienia bufora w Microsoft SQL Server Resolution Service jest znany głównie za sparawą robaka Slammer, który wykorzystał go do rozprzestrzeniania się. W 2005 roku pojawiło się kilka innych złośliwych programów wykorzystujących tę lukę. Poza tym istnieją zautomatyzowane narzędzia hakerskie wykorzystujące ją do wprowadzenia backdoorów do zainfekowanego komputera. Z tego powodu luka ta stała się dość popularna wśród autorów złośliwego oprogramowania i hakerów.

Pierwsze exploity wykorzystujące lukę MS ASN.1 wykryto w czerwcu 2005 roku, w lipcu ich liczba osiągnęła najwyższy poziom. Ich pojawienie się zbiegło się w czasie z pojawieniem się nowych wariantów Rbota wykorzystujących tę lukę. Exploit ten został później zintegrowany z innymi złośliwymi programami, takimi jak Bozori.c.

Jednym z najbardziej rozpowszechnionych robaków wykorzystujących lukę opisaną w MS03-026 jest Lovesan, znany również jako "Blaster". Wykorzystywany przez tego robaka exploit został zaimplementowany w wielu wariantach Rbota oraz niezliczonej ilości innych robaków. Niektóre z nich wywołały duże epidemie w roku 2003 i 2004.

Nowe wersje robaka Bagle, wykrytego po raz pierwszy w styczniu 2004 roku, pojawiały się w niemal w każdym miesiącu. Większość wariantów Bagla ma wbudowanego backdoora, który pozwala na przejęcie kontroli nad zainfekowanymi komputerami (pod warunkiem, że haker zna adres IP komputera). Poza tym, istnieją setki innych robaków, które wyszukują komputery z aktywnym backdoorem Bagla, a następnie infekują je. Metoda ta staje się coraz popularniejsza wśród twórców wirusów.

Dameware, podobnie jak Radmin, jest zestawem narzędzi, który może zostać wykorzystany do zdalnej administracji komputera poprzez TCP/IP. Dameware Mini Remote Control Server (wersje starsze niż 3.73) posiada lukę, która może zostać wykorzystana do bezpośredniego wykonania dowolnego kodu w niezabezpieczonym systemie. Luka ta po raz pierwszy została zgłoszona w grudniu 2003 roku; obecnie jednak, w wyniku stosowania łat i aktualizacji oprogramowania do najnowszej wersji, zagrożenie nią jest coraz mniejsze.

Dabber jest interesującym przykładem złośliwych programów, które rozprzestrzeniają się tylko na komputerach, które zostały wcześniej zainfekowane innym robakiem - w tym przypadku jest to Sasser. Innym przykładem tego typu złośliwych programów jest robak Doomjuice, który rozprzestrzenia się na komputerach zainfekowanych robakami MyDoom.a oraz Mydoom.b. Zanikanie Sassera oznacza, że podobny los spotka Dabbera.

Na uwagę zasługują również exploity WINS, wykorzystywane najczęściej przez warianty Rbota oraz Agobota na porcie 42. Najwięcej exploitów WINS wykryto w styczniu 2005 roku, jednak od tego momentu ich liczba zaczęła spadać.

10 najpopularniejszych luk wykorzystywanych do ataków internetowych

Jak wynika z listy 20 najpopularniejszych sond i ataków internetowych, większość luk wykorzystywanych do ataków internetowych dotyczy oprogramowania Microsoftu, który już dawno temu opublikował na nie łaty. Świadczy to o jednym: wiele komputerów podłączonych do Internetu nie pobiera automatycznie uaktualnień, a ich właściciele nie instalują najnowszych łat i uaktualnień.

Taka postawa prowadzi do powstania solidnej bazy niezabezpieczonych systemów, które są potencjalnym celem zarówno złośliwego oprogramowania, jak i hakerów, którzy mogą włamać się do komputerów i zmienić je w tzw. "maszyny zombie", a następnie wykorzystać do rozsyłania spamu i dalszej dystrybucji złośliwego oprogramowania.

Z wszystkich wymienionych luk tylko jedna została zgłoszona w 2005 roku - mianowicie luka PnP, opisana w MS05-039.

MS05-039 został opublikowany w sierpniu 2005 r. Luka ta po raz pierwszy została wykorzystana do rozprzestrzeniania robaka Bozori.a. Później wykorzystywały ją robaki Mytob.cf oraz Lebreat.M.

Podsumowując, mimo że w 2005 roku wykryto w systemie Windows stosunkowo niewiele nowych luk krytycznych (w porównaniu z poprzednimi latami) w Internecie istnieje spora baza komputerów, które narażone są na stare ataki. Stanowią one gotowy cel dla twórców złośliwych programów, którzy mogą wykorzystać je później do rozprzestrzeniania nowych złośliwych programów lub trojanów.

20 najpopularniejszych portów wykorzystywanych do ataków internetowych

Z naszych obserwacji wynika, że wiele ataków internetowych na komputery lub ich grupy rozpoczyna się od skanowania portów: wszystkie otwarte porty zostają wyszczególnione w raporcie i oznaczone do przyszłej analizy. Poza tym, przed wykorzystaniem określonej luki, wiele robaków skanuje adresy podsieci klasy B/C próbując otworzyć połączenia do różnych portów.

W 2005 roku najaktywniej skanowanym portem był 445/TCP, który wykorzystywany jest w Windows 2000 przez SMB (współdzielenie plików i drukarki). W starszych wersjach systemu Windows wykorzystywane były do tego celu porty 135 i 139, jednak wraz z wersją Windows 2000 Microsoft przerzucił się na port 445. W celu kompatybilności, jeśli na porcie 445 nie można było znaleźć serwera SMB, wykorzystywane były starsze porty 135 oraz 139. Z 10 najpopularniejszych luk wykorzystywanych do ataków internetowych, następujące luki mogą być wykorzystywane poprzez port 445: MS03-026, MS04-007 (ASN.1) oraz niedawno wykryta luka MS05-039 (PnP).

Na drugim miejscu znajduje się port 80, wykorzystywany do transferu danych za pośrednictwem protokołu HTTP. Swą wysoką pozycję zawdzięcza intensywnym skanowaniom w poszukiwaniu otwartych serwerów proxy oraz istnieniu sporej liczby exploitów wykorzystujących protokół HTTP. Z 10 najpopularniejszych luk wykorzystywanych do ataków internetowych port 80 wykorzystuje luka AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability.

Innym popularnym celem hakerów i robaków jest port 135, wykorzystywany przez firmę Microsoft w DCOM Service Control Manager. Najczęściej wykorzystywany jest on przez exploity dla luki MS03-026. Port 135 wykorzystywany jest także do rozprzestrzeniania się przez dużą liczbę, jeśli nie większość, najnowszych wariantów Rbota oraz Agobota. Dotyczy to również szeroko rozpowszechnionego robaka Lovesan/Blaster.

Porty UDP 1025, 1026 oraz 1027 wykorzystują spamerzy wysyłający spam na Windows Messenger Service, który nasłuchuje te porty. Messenger Service dostępny jest również poprzez port 135. Jednak od epidemii wirusa Blaster wielu dostawców usług internetowych blokuje port 135. Tym samym inne porty pozostają otwarte na potencjalne ataki.

Porty UDP 1433 i 1434 wykorzystywane są przez SQL Server Microsoftu. Robaki i hakerzy wykorzystują je również do dostarczania różnych explitów dla tego serwera. Port UDP 1434 wykorzystywany jest do ataków na lukę MS02-039, która w 2005 roku była najaktywniej wykorzystywana, głównie przez robaka Slammer.

Port 4899, wykorzystywany przez Radmina, jest kolejnym popularnym celem hakerów, jak wynika z jego dość wysokiej pozycji na liście 20 najpopularniejszych sond i ataków internetowych. Port ten jest również celem kilku robaków, na przykład robaka Rahak.a oraz kilku wariantów Agobota.

Dużą liczbę sond, których celem jest port 15118, można tłumaczyć tym, że robak Dipnet.e oraz jego modyfikacje wykorzystywały go do identyfikowania zainfekowanych już komputerów. Ponieważ Dipnet otwiera na tym porcie backdoora, jest on również celem narzędzi skanujących w poszukiwaniu komputerów, które można wykorzystać do dystrybucji innych złośliwych programów lub spamu. Interesujące jest to, że port 11768, wykorzystywany przez poprzednie warianty Dipneta, nie zdołał zakwalifikować się do tegorocznej listy 20 najpopularniejszych portów wykorzystywanych do ataków internetowych. Port 2745 wykorzystywany jest w podobny sposób przez backdoora Bagla, a port 3127 przez backdoora Mydooma.

Tradycyjnie, port 5554 wykorzystywany jest przez serwery sieciowe SGI Embedded Support Partner, jednak duże natężenie ruchu przechwyconego na tym porcie w 2005 roku spowodowane jest robakiem Sasser, który uruchamia na nim serwer ftp. Robak Dabber, który pojawił się w maju 2004 roku, wykorzystuje exploit dla serwera FTP uruchamianego na porcie 5554 przez Sassera i to jest główny powód dużego ruchu obserwowanego na tym porcie.

Port 4444 nie jest niczym więcej niż interpreterem poleceń Blastera, wykorzystywanym podczas rozmnażania się robaka; jest również celem skanerów portów, które wyszukują systemy z aktywnymi backdoorami.

Port 3128 tradycyjnie wykorzystywany jest przez serwery proxy. Z tego powodu jest on celem spamerów wyszukujących komputery, które mogą wykorzystać do dystrybucji spamu. Również niektóre znane robaki zostały zaprogramowane do wykorzystania serwerów proxy na tych portach.

Ostatnie miejsca na liście zajmują porty: 6129 (Dameware), 42 (WINS) oraz 21 (FTP).

Rozkład geograficzny ataków i sond internetowych

W tym roku Chiny okazały się głównym źródłem ataków i sond internetowych, wyprzedzając Stany Zjednoczone, wcześniejszego lidera. Bez wątpienia, przyczyną jest wzrastająca liczba użytkowników Internetu w Chinach, która według CIA World Factbook pod koniec 2004 roku osiągnęła 94 milionów. Innym powodem może być coraz większa popularność programów służących zapewnieniu bezpieczeństwa, jak również ostrzejsze prawo chroniące przed cyberprzestępczością w Stanach Zjednoczonych. Warto zauważyć, że na trzy pierwsze pozycje na liście przypada ponad 50% ataków i sond na całym świecie.

Interesujące jest to, że w Chinach znajduje się 57% komputerów zainfekowanych przez Slammera, podczas gdy dla Korei, która prowadziła pod tym względem dwa lata temu, współczynnik ten wynosi niecałe 1%. Odzwierciedla to różny stopień zainteresowania problemami bezpieczeństwa w tych dwóch państwach.

Istotne jest również uszeregowanie państw według największej liczby ataków na jednego mieszkańca.

Ważne łaty

W tym roku w produktach Microsoftu wykryto wiele luk krytycznych. Jednak tylko jedna z nich, MS05-039, była wykorzystywana na większą skalę. Do luk, które do tej pory nie były wykorzystywane przez robaki i hakerów w znacznym stopniu należą: luka MS05-051 (wykorzystywana przez robaka Dasher.b, który nie wyrządził jednak poważnych szkód), MS05-043 (luka w Print Spooler Service), MS05-021 (luka w Exchange Server), MS05-019 (luka w implementacji TCP/IP w systemie Windows), MS05-011 (luka w SMB) oraz MS05-010 (luka w License Logging Service). Kaspersky Lab zaleca wszystkim użytkownikom zainstalowanie uaktualnień poprzez Windows Update na stronie http://windowsupdate.microsoft.com/.

Z nowych luk krytycznych dotyczących systemów Unix najistotniejszą jest luka "XML-RPC for PHP Code Execution Vulnerability". Ponieważ komponent XML-RPC wykorzystywany jest przez wiele popularnych aplikacji sieciowych, takich jak b2evolution, WordPress czy TikiWiki, dominują tu robaki takie jak Lupper, które próbują wykorzystać tę lukę. Innym popularnym celem ataków na komputery z systemem Unix jest luka "AWStats "configdir" Parameter Arbitrary Command Execution Vulnerability".

Do starszych luk należy luka "AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability", która wciąż wykorzystywana jest do rozprzestrzeniania się przez Luppera i jego warianty.

Łaty na powyższe luki można pobrać z następujących stron:

• http://sourceforge.net/project/showfiles.php?group_id=34455 (na lukę XML-RPC, najnowsza wersja to: 1.2.1)
• http://awstats.sourceforge.net/#DOWNLOAD (na lukę AWStats, najnowsza wersja to: 6.5)

Szkodliwi użytkownicy uzyskiwali dostęp do komputerów z systemem Unix wykorzystując do tego także błędy w konfiguracji systemu oraz starsze exploity.

Wnioski

Dane z roku 2005 wskazują na kilka wyraźnych trendów. Po pierwsze, można wyłonić dwa główne rodzaje celów ataków internetowych. Pierwszym z nich są komputery, które od dawna nie były aktualizowane, przez co są zagrożone nie tylko ze strony najnowszych, ale także starszych exploitów. Niewątpliwie ich właściciele nie zadają sobie trudu, aby bezzwłocznie zainstalować łaty oraz pakiety aktualizacyjne. W efekcie w Internecie istnieje ogromna liczba serwerów, które "tylko czekają, aż zostaną zainfekowane".

Drugi trend obejmuje komputery, których właściciele szybko instalują dostępne łaty, przez co liczba skutecznych ataków wykorzystujących nowe luki znacznie spadła w porównaniu z poprzednimi latami. Oznacza to, że przeprowadzane niedawno kampanie mające na celu podniesienie świadomości zagrożeń IT przynoszą w niektórych państwach widoczne rezultaty - głównie w Stanach Zjednoczonych. Z drugiej strony, niektóre państwa, takie jak Chiny, zupełnie ignorują takie inicjatywy, co odzwierciedla duża liczba komputerów ze starszymi, nieaktualizowanymi wersjami systemów operacyjnych i oprogramowania.

Inną ważną tendencją jest znaczny wzrost liczby ataków polegających na umieszczeniu w systemie złośliwego programu, który może zostać wykorzystany do rozsyłania spamu lub osiągnięcia korzyści finansowych. Ponadto, większość najnowszych robaków sieciowych posiada komponent backdoor, który, po rozpowszechnieniu się tych szkodników, zostanie wykorzystany przez spamerów. Z tych samych powodów znacznie wzrosła liczba sond, które wyszukują otwarte serwery proxy.

Robaki typu Flash wywołujące globalne epidemie w błyskawicznym tempie, stanowiące poważny problem dwa lata temu, nie zajmują już czołowych miejsc w statystykach. Zostały wyparte przez złośliwe programy pisane z myślą o osiągnięciu korzyści finansowych. Mamy do czynienia z zupełnie nowym zjawiskiem, tzn. wyłonieniem się tzw. "robaków biznesowych", o czym pisaliśmy już wcześniej.

W roku 2006 spodziewamy się dalszego wzrostu liczby ataków mających związek z rozsyłaniem spamu, jak również wzrostu liczby robaków lub botów, które wykorzystują nie jedną, ale dwie lub więcej luk, zarówno tych starych, jak i nowych. Firma Kaspersky Lab będzie monitorowała sytuację w Chinach, ponieważ duża liczba niezabezpieczonych komputerów w tym państwie może poważnie wpłynąć na resztę świata.