Kaspersky Security Bulletin

Kaspersky Security Bulletin 2006. Интернет-атаки

  1. Развитие вредоносных программ
  2. Вредоносные программы для Unix-подобных систем
  3. Вредоносные программы для мобильных устройств
  4. Интернет-атаки
  5. Спам в 2006 году

В настоящем обзоре представлен анализ атак и интернет-зондов, перехваченных сетью Smallpot в 2006 году. В предыдущей статье, содержавшей обзор за первую половину 2006 года, было отмечено значительное увеличение количества атак, исходящих из США. Большинство их было создано для инфицирования машин с помощью спамботов и троянских прокси-серверов через известные уязвимости с целью получения наживы.

В этой статье рассматриваются самые распространенные атаки, осуществленные в 2006 году и их географическое «происхождение». Мы сравниваем географическое распределение атак в 2006 году с 2005 годом и рассматриваем вероятные сценарии развития ситуации в предстоящем году.

Двадцатка ведущих интернет-зондов и атак в 2006 году

Рейтинг % от общего числа Тип Название Информационный бюллетень Изменение позиции (2005)
1 34,29 зонд HTTP GET Generic
2 16,38 зонд MSSQL login +4
3 8,54 червь Slammer.a MS02-039 +1
4 6,51 зонд FTP anonymous login +15
5 6,19 эксплойт Buffer Overrun in Microsoft RPC Interface MS03-026 +5
6 4,08 зонд Radmin -4
7 3,59 зонд SSH Bruteforce Password Crack +1
8 3,30 эксплойт MS_ASN1 MS04-007 +1
9 3,00 зонд Webdav MS03-007 -4
10 2,78 червь Blaster (and variants) MS03-026 +2
11 2,22 зонд HTTP CONNECT +4
12 2,07 червь Lupper (and variants) CVE-2005-1921, CVE-2005-0116, CVE-2005-1950 New!
13 0,50 эксплойт WINS MS04-045 +5
14 0,22 эксплойт Microsoft SQL Server 2000 Resolution Service MS02-039 -7
15 0,19 зонд CGI-BIN probe New!
16 0,18 червь Dabber
17 0,13 червь Rbot/Agobot via Webdav exploit MS03-007
18 0,10 зонд HTTP POST back New!
19 0,09 зонд Dipnet -16
20 0,09 зонд Kuang backdoor execute command New!

Двадцатка ведущих интернет-зондов и атак за 2006 год.

За весь 2006 год доля зондов HTTP GET Generic увеличилась по сравнению с 2005 годом на 2 процентных пункта. Напомним, что их рост в первой половине 2006 года был значительно более существенным. Это говорит о том, что спамеры достигли точки насыщения, когда через открытые прокси-сервера рассылается максимально возможное количество спама. Неохваченных открытых прокси-серверов, через которые можно рассылать спам, больше не осталось. Небольшие колебания в количестве зондов этого типа связаны с появлением и исчезновением новых вредоносных программ, особенно ориентированных на установку пиратских, бесплатных или добытых в результате хакерских атак прокси-серверов на зараженные компьютеры.

С другой стороны, зонды, нацеленные на поиск MSSQL-серверов, поднялись в рейтинге на 4 позиции, увеличив свою долю на 12 процентных пунктов. Существует несколько объяснений этого феномена. Во-первых, боты печально известных семейств Rbot и Agobot настолько сложны, что содержат эксплойты почти для любой уязвимости, имеющей шансы на использование. Кроме того, появление ботов с открытым исходным кодом повлекло за собой образование новых семейств, использующих те же эксплойты. Их отличие от вышеупомянутых ботов крайне незначительно. В заключение отметим, что появляется все больше и больше web-ориентированных приложений, которые используют большие базы данных, и, несмотря на то что LAMP (Linux, Apache, MySQL, PHP) является излюбленной платформой, MSSQL также становится все более популярной мишенью. Конечно, на многих серверах установлены самые последние обновления. Тем не менее, слабый SА пароль можно использовать для атаки вне зависимости от версии сервера.

Несмотря на то что червь Slammer существует уже четыре года, он все еще активно распространяется. Ему удалось подняться на одну позицию, и никаких признаков снижения его активности не видно. Как уже говорилось в предыдущих обзорах, Slammer постоянно присутствует в фоновом шуме Интернета, вызванном вредоносными программами, а его активность подкрепляется огромным количеством инфицированных машин, как в Азии, так и во всем мире.

Попытки анонимного доступа на FTP (FTP anonymous login) поднялись на рекордные 15 пунктов и оказались на четвертом месте рейтинга. Они начали сдавать свои позиции во второй половине 2006 года, и можно с уверенностью сказать, что число таких интернет-зондов уменьшится в течение последующих нескольких месяцев. Такие зонды в основном используются для поиска открытых серверов, которые можно будет использовать для хранения и распространения вредоносных программ или так называемых warez — пиратского программного обеспечения. Использование FTP-сервера — не самый эффективный способ распространения, отсюда все возрастающая популярность в среде компьютерных нелегалов других систем, таких как BitTorrent и виртуальные сети на основе Hamachi (closed rings).

Небезызвестное переполнение буфера в Microsoft RPC Interface поднялось на 5 позиций по сравнению с 2005 годом. Однако по сравнению с первой половиной 2006 года уровень его популярности снижается. Это достаточно старая уязвимость (закрытая еще в 2003 году), и она продолжит сдавать позиции и в конце концов станет частью фонового шума в Интернете, где и останется на довольно длительное время.

Надо отметить и довольно значительное падение доли интернет-зондов Radmin, которые в 2005 году занимали вторую строчку рейтинга. Интересно, что их доля возросла во второй половине 2006. Скорее всего, это было связано с бесплатным распространением эксплойтов и библиотек эксплойтов.

Набирает популярность взлом паролей SSH с помощью метода подбора (Secure Shell Bruteforce Password Crack), поднявшись по сравнению с 2005 годом на одну позицию. Надо отметить, что взлом слабых паролей с использованием метода подбора (bruteforce) в целом становится все более и более распространенным. Как и следовало ожидать, в то время как гиганты рынка ПО, такие как Microsoft, уделяют все большее внимание защите своих программ, мишенью хакеров становятся люди — самое слабое звено в цепочке компьютерной безопасности.

В настоящее время эксплойты Microsoft ASN.1 используются почти исключительно в ботах, наряду с другими популярными эксплойтами, нацеленными на более старые уязвимости. Например, уязвимость WebDAV, описанная в Microsoft Security Bulletin MS03-007, на год старше чем ASN.1, но лишь немногим менее популярна.

Червь Blaster (и его разновидности), который занимал двенадцатое место в рейтинге 2005 года, поднялся на десятую позицию. Хотя число заражаемых им компьютеров невелико, сдавать позиции он также не спешит, так что, вероятно, он останется частью фонового шума Интернета еще какое-то время. Стоит отметить, что Microsoft распространяет утилиту для нейтрализации Blaster в составе Windows Update, следовательно, на большинстве машин, которые все еще инфицированы, скорее всего, стоит старая версия Windows (например, NT4), не использующая систему автоматических обновлений. Будет интересно проследить, повлияет ли выход Windows Vista на число компьютеров со старыми операционными системами — станут ли их владельцы переходить с NT4/2000 на Windows XP или 2003, или же сразу на Vista.

Зонды HTTP CONNECT набрали четыре пункта по сравнению с 2005 годом. Существенный рост числа таких зондов, произошедший во второй половине 2006 года, вероятно, продолжится и дальше, так как эти зонды используются как альтернативный способ поиска открытых прокси-серверов.

Червь Lupper и его разновидности в настоящее время полностью исчезли, но в первые два месяца 2006 года они были чрезвычайно активны. Lupper может служить доказательством того, что не только черви для Windows, но и черви для других платформ способны широко распространиться, причем очень быстро. Последний отчет с упоминанием Lupper поступил в июле 2006.

Доля эксплойтов WINS несколько увеличилась, хотя и незначительно. Возможно, этот рост связан с наличием многочисленных червей, в арсенал которых эти эксплойты входят вместе с сотнями других.

На пятнадцатом месте оказались интернет-зонды CGI-BIN. В прошлом мы уже замечали подобные зонды, однако в 2006 году их количество увеличилось. Некоторые из них связаны с червями, использующими те же скрипты, что и Lupper и ему подобные, в то время как другие являются продуктом различных хакерских утилит.

Еще один интересный пункт в списке — зонды HTTP POST back. Задача таких зондов — установление соединения, обычно по порту 16667, 6667 или 6660, с машиной, ранее устанавливавшей соединение с данным компьютером. На таких компьютерах действует сервис, который регистрирует все соединения, что является признаком того, что на компьютере установлен открытый прокси-сервер.

Подводя итоги 2006 года, можно выделить две отчетливые тенденции. Во-первых, старые эксплойты становятся частью фонового шума Интернета и по большей части используются в ботах. Во-вторых, в то время как число новых уязвимостей, обнаруживаемых и используемых удаленно через Интернет, относительно невелико, все более значительные усилия хакеров направляются на обнаружение и взлом серверов (таких как SSH и MSSQL), сервисы которых защищены слабыми паролями.

Десятка ведущих уязвимостей, используемых в интернет-атаках

Рейтинг Информационный бюллетень Описание
1 MS02-039 Buffer Overruns in SQL Server 2000 Resolution Service Might Enable Code Execution
2 MS03-026 Buffer Overrun in RPC May Allow Code Execution
3 MS04-007 An ASN.1 vulnerability could allow code execution
4 MS03-007 Unchecked buffer in Windows component may cause Web Server compromise
5 CVE-2005-1921 Eval injection vulnerability in PEAR XML_RPC 1.3.0 and earlier (aka XML-RPC or xmlrpc) and PHPXMLRPC (aka XML-RPC For PHP or php-xmlrpc) 1.1 and earlier
6 CVE-2005-0116 AWStats 6.1, and other versions before 6.3, allows remote attackers to execute arbitrary commands via shell metacharacters in the configdir parameter
7 CVE-2005-1950 hints.pl in Webhints 1.03 allows remote attackers to execute arbitrary commands via shell metacharacters in the argument
8 MS04-045 Vulnerability in WINS could allow remote code execution
9 VU#909678 DameWare Mini Remote Control vulnerable to buffer overflow via specially crafted packets
10 MS03-051 Buffer overrun in Microsoft FrontPage Server Extensions could allow code execution

Десятка уязвимостей, которые наиболее часто использовались для интернет-атак в 2006 г.

Если говорить об уязвимостях, которые использовались для интернет-атак, то существенное отличие 2006 года от предыдущих лет состоит в увеличении числа попыток использовать уязвимости продуктов и операционных систем, выпущенных не компанией Microsoft, а другими производителями. При этом во второй половине 2006 года число подобных атак существенно уменьшилось, а червь Lupper, ответственный за них, прекратил свое существование.

Интересно, что выросло число атак, направленных на MSSQL-сервера. Наиболее распространенными стали атаки через уязвимости, описанные в Microsoft Security Bulletin MS02-039. Именно поэтому уязвимости, занимавшие 1-е и 2-е место в нашем обзоре за первую половину 2006 г., поменялись местами.

Как и в нашем предыдущем обзоре, ни одна из уязвимостей, обнаруженных в 2006 году, не попала в десятку.

Двадцатка портов, наиболее часто использовавшихся в интернет-атаках

Рейтинг % от общего числа Порт
1 32,28 445
2 24,94 1026 (UDP)
3 12,59 1433
4 12,35 80
5 4,80 1027 (UDP)
6 2,31 1434 (UDP)
7 1,89 1025 (UDP)
8 1,51 135
9 1,42 21
10 0,86 4899
11 0,76 22
12 0,68 3128
13 0,40 4444
14 0,26 6588
15 0,14 42
16 0,10 443
17 0,08 5554
18 0,07 3127
19 0,02 17300
20 0,02 6129

Двадцатка портов, наиболее часто использовавшихся в интернет-атаках, 2006 г.

В 2006 году отмечено чрезвычайно значительное увеличение числа попыток установить соединение по порту 1433, который часто используется MSSQL. Это произошло во втором полугодии: число соединений увеличилось с 1,68% до 12,59% от всех атакованных портов. Несмотря на это, подавляющее большинство интернет-атак и зондов все еще направлено на порт 445, который используется в последних версиях Windows для протоколов SMB (совместное использование файлов и принтеров) поверх TCP.

Порты 1025, 1026 и 1027 используются службой Windows Messenger Service и по-прежнему остаются любимой мишенью спамеров. Служба Windows Messenger (не путать с MSN Messenger, приложением для мгновенного обмена сообщениями) отключена по умолчанию в Windows XP SP2 и более поздних версиях Windows. Однако это не останавливает спамеров, которые продолжают рассылать пакеты данных.

Порт 80, используемый для передачи данных по протоколу HTTP, все еще занимает довольно высокое — четвертое — место. Большинство соединений по порту 80 устанавливается спамерами в поисках открытых прокси-серверов. Такие атаки обычно начинаются с получения доступа к указателю сайта, за которым следуют попытки получения доступа к удаленным сайтам. В некоторых случаях после определения программного обеспечения веб-сервера используются специальные эксплойты. Более того, среди соединений по порту 80, регистрируемых нашими ловушками (honeypots), значительная часть приходится на долю поисковых систем. Например, ботам поисковой системы Google понадобилось менее 6 часов, чтобы прозондировать вновь установленную ловушку на территории США с выбранным случайным образом IP-адресом.

Использование порта 21, которое было на подъеме в течение первых шести месяцев 2006 года, значительно сократилось. Вероятно, киберпреступники нашли более эффективные способы распространения вредоносных программ или пришли к выводу, что FTP-сервера не очень подходят для их целей.

Географическое распределение интернет-атак и зондов

Рейтинг Страна % от общего числа
1 США 35,63
2 Китай 21,73
3 Германия 2,85
4 Украина 2,84
5 Италия 2,51
6 Филиппины 2,41
7 Россия 2,26
8 Канада 2,15
9 Саудовская Аравия 1,97
10 Корея 1,78
11 Франция 1,67
12 Япония 1,57
13 Нидерланды 1,53
14 Великобритания 1,51
15 Гонконг 1,28
16 Тайвань 1,16
17 Бельгия 1,13
18 Швеция 1,00
19 Израиль 0,86
20 Испания 0,62

Географическое распределение интернет-атак и зондов за 2006 год.

Последние три года прошли под знаком борьбы между США и Китаем за сомнительную честь возглавлять таблицу «Географического распределения интернет-атак и зондов». В 2004 году США заняли первое место, но в 2005 году ситуация в корне изменилась, и Китай занял первое место, став источником 27,38% всех атак. В первой половине 2006 года США снова заняли лидирующую позицию — оттуда исходило 40% всех осуществляемых атак. Однако во второй половине прошлого года картина снова изменилась. В приведенной выше таблице показаны результаты за весь 2006 год.

Сейчас, когда количество атак, исходящих из США, уменьшается, Китай вновь оказался на взлете, совершив скачок с 17% за первую половину 2006 до 21,73% за весь 2006 год. Особенно значительное увеличение было отмечено в последние месяцы ушедшего года.

Интересным пунктом в рейтинге стала Саудовская Аравия, явившаяся источником 1,97% всех атак. Можно отметить Украину, которая, впервые оказавшись в списке, сразу заняла четвертое место, и Израиль, также впервые попавший в таблицу и занявший девятнадцатую позицию.

В завершение отметим, что количество атак из Германии и с Филиппин значительно снизилось. В прошлом обе эти страны являлись постоянным источником атак, так что приятно видеть, что ситуация немного меняется к лучшему.

Важные исправления и пакеты обновления

В 2006 году Microsoft выпустил 78 бюллетеней безопасности, посвященных различным уязвимостям. Большинство уязвимостей было найдено в Windows, но некоторые были обнаружены в пакете Microsoft Office и других продуктах компании.

Некоторые бюллетени, такие как MS06-070 («Уязвимость в службе рабочей станции делает возможным удаленное выполнение кода (924270)») или MS06-040 («Уязвимость в службе сервера делает возможным удаленное выполнение кода (921883)») посвящены уязвимостям, которые можно использовать напрямую через Интернет. Тем не менее, сообщений о серьезных атаках, использующих эти уязвимости, не поступало. Это можно объяснить тем, что о большей части этих уязвимостей Microsoft был проинформирован частным образом компаниями — «охотниками за багами», и эксплойты не предавали огласке. Другое возможное объяснение состоит в том, что на большинстве компьютеров, доступ к которым может быть осуществлен через Интернет (т.е. на таких, где нет файервола), установлены предыдущие версии Windows, уязвимые и для других атак, которые осуществить легче.

В целом число найденных в продуктах Microsoft в 2006 году уязвимостей, которые можно использовать напрямую через Интернет, достаточно мало. Заметим, что в данном случае мы не учитываем удаленно используемые уязвимости, требующие непосредственного взаимодействия с пользователем. Этот тип уязвимостей широко использовался на протяжении всего 2006 года, поэтому мы посвятим им отдельную статью. К этой группе относятся уязвимости, описанные в бюллетенях Microsoft MS06-078 («Уязвимость формата Windows Media делает возможным удаленное выполнение кода (923689)»), MS06-071 («Уязвимость основных служб XML Microsoft делает возможным удаленное выполнение кода (928088)») и MS06-062 («Уязвимости пакета Microsoft Office делают возможным удаленное выполнение кода (922968)»).

Как всегда, для устранения этих уязвимостей можно с помощью Internet Explorer загрузить соответствующие обновления с сайта http://update.microsoft.com/. Не забудьте также установить обновления для Microsoft Office, поскольку многие из уязвимостей, обнаруженных в 2006 году, найдены в продуктах, входящих в состав Microsoft Office, таких как Word и Power Point.

Что касается Linux, то в 2006 году отмечено несколько серьезных уязвимостей, большинство из них в ядре операционной системы. Некоторые из них позволяют осуществлять DoS атаки на уязвимые системы, в то время как другие позволяют повысить уровень привилегий. Надо отметить, что в состав всех современных дистрибутивов Linux входят пакеты программ, которые не являются частью операционной системы. Поэтому, возможно, неправильно называть эти уязвимости «уязвимостями Linux». Например, ранее в этом году была обнаружена серьезная уязвимость ‘sendmail’, однако большинство дистрибутивов Linux не устанавливают sendmail по умолчанию. В целом в большинстве атак на ОС Linux, совершенных в 2006 году, использовались уязвимости в программах сторонних производителей. Например, в мае 2006 года была обнаружена уязвимость в WordPress, популярной программе для ведения блогов, которая позволяет выполнять произвольный код на компьютере-жертве. Хотя в большинстве дистрибутивов Linux программа WordPress не устанавливается по умолчанию, она все же очень популярна, и многие хостинговые компании включают ее в предлагаемые ими пакеты. Как не устают повторять ИТ-профессионалы, безопасность — это цепь, и цепь не может быть прочнее своего самого слабого звена.

Наряду с обеспечением безопасности системы и ограничением доступа к сервисам извне, необходимо поддерживать Linux (и Unix-системы в целом) в актуальном состоянии. Это так же важно, как своевременно устанавливать обновления Windows. При использовании автоматических обновлений ‘yum’ and ‘apt’ это достаточно простая задача.

Наконец, отметим, что в MacOS X в 2006 году было обнаружено несколько уязвимостей, часть которых позволяет исполнять произвольный код на компьютере-жертве. Ни для одной из них не обнаружены работоспособные эксплойты. К счастью, Apple достаточно быстро выпускала исправления, закрывающие найденные уязвимости. Более того, по умолчанию MacOS X загружает и устанавливает обновления автоматически. Поэтому подключенные к Интернету машины, на которых не установлены необходимые исправления, встречаются достаточно редко.

Заключение

В 2006 году обозначились два основных направления развития атак, совершаемых через Интернет.

Первая тенденция — это постоянный «фоновый шум» в Интернете, вызванный червем Slammer и армиями ботов, которые ориентированы на достаточно старые уязвимости. Большинство таких инфекций исходит из Азии, и исчезать они не собираются, по крайней мере, в обозримом будущем. В настоящее время приблизительно 15% трафика в сети вызвано фоновым шумом, что не так много — эта цифра сравнима с объемом спама в 1999 году. Можно предположить, что по мере распространения новых операционных систем число компьютеров со старыми, уязвимыми системами уменьшится. Можно надеяться, что это приведет к снижению фонового шума. Будет очень печально, если шум достигнет нынешних объемов спама; пользоваться Интернетом, на 90% состоящим из фонового шума, будет не сложно, а попросту невозможно.

Вторая тенденция, вероятно, имеет большее значение для развититя Интернета. С повышением интереса к защите программного обеспечения и скорейшей установке обновлений заметно снизилось количество уязвимостей, которые могут быть использованы напрямую через Интернет. В состав всех последних дистрибутивов Linux входят системы автоматической установки обновлений, и иногда они включены по умолчанию. В случае обнаружения ошибки в программном коде потенциально уязвимый компьютер сам загрузит обновления и установит их, причем иногда пользователь даже не будет об этом знать. Все вышесказанное относится и к Windows, поскольку Microsoft предпринял огромные усилия для обеспечения эффективности обновлений Windows Update. Результатом этого стали большие изменения в типах атак, осуществляемых через Интернет, что без сомнения сыграет важную роль в ближайшем будущем. Когда прорехи в защите быстро устраняются и новые уязвимости, которые можно активно использовать через Интернет, становятся все более редким явлением, киберпреступники концентрируют свои усилия на сервисах, защищенных слабыми паролями. Это подтверждается увеличением количества атак, основанных на подборе паролей (bruteforce), направленных на MSSQL, SSH, FTP и другие широко распространенные сервисы.

Уменьшение числа широко распространенных уязвимостей, которые можно использовать через Интернет, вылилось в еще одну тенденцию: распространение вредоносных программ через web-страницы. Особенность такой атаки состоит в том, что для ее осуществления необходимо, чтобы пользователь зашел на вредоносный сайт. Но это обстоятельство не останавливает киберпреступников. Количество web-ориентированных атак увеличилось настолько, что стало наиболее популярным методом распространения вредоносных программ. Готовящийся обзор по web-угрозам будет содержать подробную информацию по данному вопросу.

Что касается предотвращения интернет-атак, то здесь существует достаточно простое решение. К сожалению, уменьшить уровень фонового шума не представляется возможным, зато существуют простые способы избежать атак, цель которых — получить доступ к сервисам, защищенным только паролями. Надо сделать так, чтобы ни к одному из сервисов, доступных через Интернет, нельзя было получить доступ с помощью одного лишь пароля: для этого аутентификация должна быть по крайней мере двухфакторной. Для SSH отмените идентификацию по паролю и используйте публичные ключи (public keys), защищенные локальными паролями. Замените FTP на SFTP, а для доступа к web используйте SSL и пользовательские сертификаты. К сожалению, двухфакторная аутентификация для MSSQL может оказаться проблематичной, и на сегодняшний день простого решения не существует. Тем не менее, с помощью фильтрации всех входящих данных на уровне сетевого экрана вы можете сделать так, что только компьютеры, имеющие соответствующие права, смогут соединиться с сервером SQL.

Если бы все использовали подобные несложные решения, Интернет превратился бы в гораздо более безопасное и удобное место.

Kaspersky Security Bulletin 2006. Интернет-атаки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике