Kaspersky Security Bulletin, январь-июнь 2006. Интернет-атаки

1. Развитие вредоносных программ
2. Вредоносные программы для не Win32-платформ
3. Интернет-атаки
4. Вредоносные программы для мобильных устройств
5. Спам в первом полугодии 2006 года

В предыдущем отчете «Лаборатории Касперского» обсуждались наиболее массовые виды атак, проведенных в интернете в 2005 году. Там же приводился анализ их распределения по странам — источникам атак. Кроме того, был дан годовой обзор развития некоторых вредоносных кодов, и сделан вывод о том, что главным игроком в прошлом году был Китай. Более 38% атак, совершенных различными вредоносными программами в процессе своего размножения, исходило именно оттуда.

В данной статье рассмотрены атаки, перехваченные сетью Smallpot, за первые шесть месяцев 2006 года. Мы вновь проанализируем распространение атак по исходным IP-адресам и странам происхождения; рассмотрим изменения имевшие место после 2005 года. В завершающей части мы уделим внимание некоторым патчам, выпущенным в первой половине 2006 года и повлиявшим на интернет-атаки и развитие вредоносных кодов. В эту часть также включены выводы и прогнозы на будущее.

Статистика

Двадцатка ведущих интернет-зондов и атак за первую половину 2006 года

Поскольку объем пересылаемого через интернет спама не уменьшился, неудивителен тот факт, что зонд «HTTP GET Generic» до сих пор удерживает лидирующие позиции. В действительности, отмечен любопытный 5%-ый рост числа зондов. Это, без сомнения, свидетельствует о большой популярности поиска открытых прокси-серверов, которые затем используются для рассылки спама в целях получения прибыли.

На втором месте попытки анонимного доступа на FTP. Они поднялись с семнадцатого места в прошлом году и теперь охватывают более 12 % от общего числа зондов и атак. В большинстве случаев, такие интернет-зонды порождаются автоматическими средствами, созданными для поиска FTP-сайтов, которые позднее можно использовать для загрузки и распространения противоправных программ.

Небезызвестный червь Blaster, использующий уязвимость в переполнении буфера Microsoft RPC, описанную в MS03-026, также поднялся не менее, чем на семь позиций. Это объясняется ростом числа ботов (Rbot и IRCbot-разновидностей), использующих уязвимые эксплойты. Их исходные коды, наряду с легкостью использования MS03-026-эксплойтов, широко доступны. Следует отметить, что это лишь одна из уязвимых сторон, используемых такими ботами. Тем не менее, она остается самой популярной, хотя прошло уже больше трех лет.

MSSQL-червь Slammer, появившийся в январе 2003 года до сих пор активно распространяется. Более того, число сообщений о нем, похоже, идет в гору. Занимая 9,2% от общего объема, атаки эти — своего рода шумовой фон интернета. Случайный компьютер, подключенный к интернету, будет атакован не менее раза в день.

Относительно новый Lunix-червь Lupper появился в ноябре 2005 года, однако, после периода распространения по Интернету поднялся на пятое место. Этот червь, использующий различные эксплойты, написанные для работы с популярными PHP/CGI-библиотеками скриптов, — виновник более чем 4% всех сообщений за первые шесть месяцев 2006 года.

Как следует из приведенной таблицы, большинство атак имело место в январе и феврале, после чего активность червя падает. Появление новых версий, способных использовать заново открытые эксплойты, стала причиной роста атак в июне.

Интересно и то, что наряду с широким распространением ошибки переполнения интерфейса Microsoft RPC, то же самое происходит с небезызвестным червем Blaster, до сих пор распространяющимся через интернет. Менее распространенный, чем Slammer, Blaster, тем не менее, стал виновником почти 4% всех атак.

Webdav-атаки (MS03-007), проводимые как ботами, так и программами хакеров, спустились на две позиции. Эти относительно старые виды атак в наши дни уже не могут быть такими успешными. Тем не менее, их можно обнаружить в недавно выпущенных червях, использующих более новые уязвимости.

Radmin-атаки, занимавшие третье место в рейтингах 2005 года, скатились на шесть позиций. С появлением пэтчей, выпушенных для уязвимых версий программы, и выходом новых версий Radmin, — подобные атаки, возможно, продолжат свой спад.

На девятой и десятой позиции соответственно располагаются атаки на Secure Shell Server (SSH) — сервер, в отношении которого применяются brute force-атаки по подбору паролей, и попытки MSSQL handshake (после чего обычно следуют brute force-попытки авторизации). Обе они являются малоэффективными способами для проникновения в систему, и, таким образом, действуют скорее выборочно, чем полномасштабно. Разумеется, после опознания системы, как использующей SSH или MSSQL-сервер, — злоумышленник может начать атаку с использованием словарного пароля на простые аккаунты, такие как «root» или «SA».

Microsoft ASN.1-эксплойты также снизились приблизительно до 0,5% и уступили две позиции. В прошлом такие эксплойты относили к разновидностям Rbot и Bozori.c. Разновидности Rbot еще распространяются, но Bozori.c — практически исчезнувший вид, что объясняет снижение числа атак.

С другой стороны, более современные WINS-атаки встречаются все чаще. Опять же, атаки такого рода проводят, главным образом, сетевые черви.

Зонды, ищущие бекдор-компонент, установленный червем Dipnet, демонстрируют более быстрый спад, скатившись с третьего места в прошлом году на семнадцатое место в этом. После того, как Dipnet был более или менее устранен осенью 2005 года, шансы отыскать машину, зараженную этим червем, относительно невелики. Спаммеры, использующие автоматизированные средства для поиска таких машин, без сомнения, перестроили свою тактику.

В двадцатку «лучших» за первую половину 2006 года попали и четыре новичка. В добавок к Lupper, мы перехватываем возросшее число зондов, ищущих бекдор-Kuang, запросы HTTP HEAD и запросы SSL handshake. Рост числа зондов бекдор Kuang можно объяснить червями, которые размножают зараженные машины уже инфицированные бэкдором; последние два — типичные зонды «запроса информации».

Десятка ведущих уязвимостей, ставших целью интернет-атак

По сравнению с прошлым годом, заметен рост числа попыток использовать уязвимые стороны ОС и продуктов, выпущенных не компанией Microsoft, а иными компаниями. Примечательно и то, что уязвимости, используемые Lupper, позволили ему войти в рейтинги и занять пятую, шестую и седьмую позиции.

Чаще всего во время интернет-атак в первой половине 2006 года использовалась небезызвестная уязвимость переполнения буфера RPC, описанная в Бюллетене по безопасности Microsoft MS03-026, и широко известная как уязвимость, используемая Blaster.

Наряду с тем, что уязвимости, описанные в бюллетенях MS03-026 и MS03-007, стали менее распространены с момента выхода нашего предыдущего отчета, они по-прежнему используются довольно часто.

Последнее заметное различие — это появление в рейтинге уязвимости, описанной в бюллетене MS03-051 и занимающей десятую позицию. Этот Security Bulletin озаглавлен «Buffer Overrun in Microsoft FrontPage Server Extensions Could Allow Code Execution (813360)» и, как обычно, содержит ссылки на патчи для уязвимых машин.

В целом, следует отметить, что вся десятка уязвимостей была обнаружена до 2006 года. Не совсем не значит, что новые уязвимости совсем не использовались. Просто в настоящий момент они используются не так широкомасштабно.

Двадцатка портов, наиболее часто использовавшихся в интернет-атаках

В прошлом двадцатка портов, используемых в интернет-атаках оказывалась ценным источником информации об уязвимостях, чаще всего наблюдаемых хакерами или кибер-преступниками. В 2005 году первое место среди попыток сканирования портов машин с машинами под Windows занимает порт 445. Неудивительно и то обстоятельство, что зонды порта 445 занимают первые позиции и в начале 2006 года. Подчеркивая этот факт в предыдущем отчете, мы делали вывод о том, что значительное большинство интернет-атак имеют целью либо очень старые версии Windows, либо совсем новые, не имеющие необходимых патчей.

Также имеется любопытный рост числа зондов и атак на порты 1025, 1026 и 1027. Все они используются спаммерами для рассылки сообщений от Windows Messenger Service. Хотя в последних версиях Windows они заблокированы по умолчанию, — огромное число машин под Windows 2000 и Windows XP без P2 делают из этих портов частую мишень.

Атаки на порт 80 остаются более или менее частыми; такая процентная составляющая поддерживается поиском открытых прокси, о чем говорилось выше. Интересно отметить, что в некоторых случаях машины сети Smallpot атаковывались ботами поисковых машин, которые наугад зондировали IP-адреса в интернете. Опознав веб-сервер, робот-паук поисковой машины делал попытки выкачать страницу индекса, а затем и весь веб-сайт. Это объясняет то обстоятельство, почему люди выложившие веб-сервера на домашних машинах, позднее обнаруживают адреса их сайтов в списках крупных поисковых машин, при том, что они не давали о них информацию в интернете.

Также возросло зондирование порта 21 (FTP), поднявшись на двенадцать ступеней. Как объяснялось в предыдущей главе, FTP стал популярной мишенью для программ, опознающих сайты, которые затем можно использовать для распространения пиратских программ. Подобная активность и соответствующий рост напрямую связаны с ростом киберпреступности и особенно преступности в интернете.

Географическое распределение интернет-атак и зондов

Ранее в 2004 году США были основным источником перехваченных нами интернет-атак и зондов. В 2005, однако, ситуация изменилось и Китай обошел США более чем на 6%. В этом году лидеры вновь поменялись и США лидируют со значительным отрывом: на их долю приходится 40,60% от всех атак. 17,22% атак исходило из Китая, который уступает в процентном отношении. Причина, однако, не в реальном снижении числа атак из Китая, но в огромном росте числа атак, исходящих из США.

Южная Корея, занимавшая в прошлом году третье место, скатилась на девятое; причем ее место теперь занимают Филлипины. Германия также демонстрирует заметную тенденцию роста; по сравнению с прошлым годом, нами перехвачено в среднем втрое больше атак, источником которых была Германия.

Кроме того, ситуация изменилась во Франции, поднявшейся на шестое место с четырнадцатого в прошлом году. Россия, напротив, опустилась с шестого на десятое место.

Надо ли говорить, что самые заметные перемены — в росте числа атак и зондов, исходящих из США. Такой рост стал неожиданностью; за период, рассматриваемый в предыдущем отчете, снижение числа атак из США объяснялось растущей популярностью решений в области безопасности, наряду с ужесточением законов в сфере киберпреступности. Значительное изменение ситуации в первой половине 2006 года — весьма обескураживает.

Заметно возросло и число атак исходящих из США, использующих особые вредоносные программы. Например, на таблице, приведенной ниже, показано географическое распределение машин, инфицированных разновидностями Lupper в первой половине 2006 года.

В прошлом большинство машин, зараженных вредоносными программами, размножающимися через те или иные уязвимости, располагались в Китае. Теперь, однако, ситуация резко изменилась. Почти треть всех машин, зараженных сетевым червем Lupper, располагалось в США — это довольно высокая цифра. Такие страны, как Польша, Япония и Германия, всегда сообщали о наличие Linux-вирусов просто потому, что Linux здесь считается популярной операционной системой. Китай занимает третье место, набрав 7,87%; однако, в целом, вредоносные программы под Linux, встречаются относительно редко. Большинство атак с использованием вредоносных программ исходящих из Китая были вызваны вирусами Slammer. Это наглядно демонстрирует таблица приведенная ниже:

По сравнению с прошлым годом, примечателен тот факт, что в отличие от Китая, где, отмечены 71,77% заражений вирусом Slammer, — в остальных странах вирус этот практически прекратил существование.

Патчи и важные сервисные обновления

Как уже ясно из приведенной выше информации, нами достигнута некая точка в развитии безопасности, когда более новые уязвимости редко используются в широком масштабе. Отмечены несколько важных исключений, но в этих случаях уязвимости использовались червями, применяющими лазейки для репликации. Подавляющее большинство таких червей написаны с целью прибыли.

Несмотря на это, нельзя недооценивать важность обновлений и пакетов безопасности, которые следует устанавливать как можно скорее после выпуска с тем, чтобы минимизировать период уязвимости операционной системы. За последние три года, благодаря Trusted Computing Initiative, Microsoft не только сосредоточилась на решении проблем безопасности в Windows и других продуктов, но и поставляла их более оперативно, чем ранее. Учитывая то, что в десятке уязвимостей, используемых в интернет-атаках, нет уязвимостей обнаруженных в 2006 году, — можно сделать вывод о правильности выбранного подхода.

Ряд серьезных проблем безопасности в ПО Microsoft был обнаружен за первые шесть месяцев 2006 года (серьезными здесь названы те уязвимости, которые могут быть использованы удаленно и привести к произвольному запуску кода). Наиболее частые из используемых в настоящий момент уязвимостей это, без сомнения, ряд лазеек, найденных в ряде продуктов Microsoft Office, таких как Word или Power Point. Сообщалось об огромном количестве случаев использования таких уязвимостей. Уязвимости подробно изложены в Бюллетене безопасности Microsoft MS06-027 под названием «Уязвимость Microsoft Word может допустить запуск кода(917336)», а также в Бюллетенях по безопасности Microsoft MS06-028 и MS06-012.

Кроме того, в различных версиях Windows были найдены уязвимости, дающие возможность для удаленного использования; наиболее серьезной, вероятно, является TCP/IP-уязвимость, описанная в Бюллетене безопасности Microsoft MS06-032. Следует, однако, отметить, что для использования такой уязвимости должны быть включена функция IP Source Routing. В системах Windows XP Service Pack 2 и Windows Server 2003 Service Pack 1 — фукция эта отключена по умолчанию. Следующая критическая уязвимость описывается в Бюллетене безопасности Microsoft MS06-025 «Vulnerability in Microsoft Word Could Allow Remote Code Execution (917336)». При удачном использовании такой уязвимости, удаленный злоумышленник может целиком подчинить себе машину жертвы.

Чтобы «залатать» поврежденные системы, используйте Internet Explorer и следуйте на http://update.microsoft.com, включив предварительно возможность автоматического обновления.

Что касается Linux-систем, то число критических системных уязвимостей обнаруженных за первую половину 2006 года было невелико. Оставив в стороне проблемы с неверной конфигурацией, можно сказать, что недавние случаи, ставившие систему под угрозу, были вызваны багами библиотек и продуктов третьих сторон, таких как sendmail. Серьезная уязвимость sendmail обнаружена в марте этого года и подробно рассматривается в Secunia Security Advisory. Все современные Linux поставляются с утилитой автоматического обновления, такой как yum, которую можно использовать для загрузки и инсталляции последних патчей безопасности для зарегистрированных пакетов системы.

Как видно из нашего отчета по теме, в MacOS X также обнаруживали уязвимости. К счастью, MacOS X обновляет себя по умолчанию, однако пользователям стоит убедиться в том, что конфигурация операционной системы позволяет делать обновления как можно чаще. Для этого нужно войти в System Preferences, выбрать Update Software, и в графе Check for updates включить режим Daily. В качестве дополнительной меры безопасности выберите функцию «Download important updates in the background».

Выводы

Анализ информации, собранной в первой половине 2006 года, приводит к двум четким выводам.

Прежде всего, налицо неожиданно большой рост числа атак исходящих из США. Такой рост можно объяснить сокращением расходов на решения в области безопасности, а также развитием новых видов атак, использующих лазейки в таких решениях. Также напрашивается вывод о том, что инвестируя средства на защиту машин на базе ПО Microsoft, компании, не делают то же самое с машинами на базе Linux. Возможная тому причина — ложное чувство безопасности, столь распространенная в случае с *nix-системами. Как бы там ни было, системные администраторы, похоже, попросту пренебрегали обновлениями. Это очевидно из того факта, что на долю США приходится треть машин, зараженных вредоносным кодом, использовавшим недавние уязвимости в популярных PHP-библиотеках и программах. К счастью, на большинстве этих машин уже стоят важные обновления. Следует, однако, отметить, что Lupper (и разновидности) был вторым по степени распространения сетевым червем за первые шесть месяцев 2006 года.

Второй, более важный вывод состоит в подтверждении тенденции, о которой мы писали и на которую мы указываем с 2003 года: киберпреступность на подъеме. Анализ данных, представленных в этом отчете, а также другая информация по тому же периоду, ясно дает понять тот факт, что всё больше и больше средств вкладываются в незаконное зарабатывание денег через интернет. Будь то рассылка спама, продажа пиратских программ или краденных вещей. В настоящий момент, большинство лиц, вовлеченных в такой бизнес, находится в США, однако киберпреступность не ограничена рамками одной страны. Она стала глобальным феноменом.

В предыдущем отчете мы предсказывали рост атак, связанных со спамом, что подтверждается приведенными в статье данными. Любопытно и появление нового вида атак, также связанных с киберпреступностью: нахождение FTP-аккаунтов, где можно бесплатно хранить вредоносные коды, пиратские программы и другую информацию. Защиту от подобных атак, как правило, обеспечивают последние обновления, надежный, хорошо сконфигурированный межсетевой экран и антивирусные пакеты. И, наконец, но не в последнюю очередь, крайне важно убедиться в том, что все аккаунты, открытые интернету, имеют безопасные пароли и доступ через безопасные соединения (SSL, SSH).

Специалисты «Лаборатории Касперского» будут продолжать наблюдать за ситуацией и сообщать о последних тенденциях в написании вредоносных кодов, новых интернет-атаках и киберпреступности. Настоящий цикл статей продолжат «Интернет-атаки 2006», в которых будет собрана и проанализирована информация за этот год.