Costin Raiu
Dyrektor działu R&D, Kaspersky Lab Romania

1. Ewolucja szkodliwego oprogramowania
2. Szkodliwe programy dla systemów uniksowych
3. Mobilne szkodliwe programy
4. Ataki internetowe
   • 20 najpopularniejszych sond i ataków internetowych 2006 roku
   • 10 najpopularniejszych luk wykorzystywanych w atakach internetowych
   • 20 najpopularniejszych portów wykorzystywanych w atakach internetowych
   • RozkÅ‚ad geograficzny ataków i sond internetowych
   • Ważne Å‚aty i pakiety service pack
   • Podsumowanie
5. Spam w 2006 roku

Ta część rocznego raportu Kaspersky Lab jest podsumowaniem dotyczącym ataków i sond wychwyconych przez sieć Smallpot w 2006 roku. W naszym poprzednim artykule obejmującym pierwszą połowę 2006 r. zwróciliśmy uwagę na znaczne zwiększenie liczby ataków pochodzących ze Stanów Zjednoczonych. Większość z nich powstało w celu uzyskania korzyści finansowych i wykorzystuje znane luki do infekowania komputerów spambotami i instalowania serwerów trojan-proxy.

W raporcie przyjrzymy się najbardziej rozprzestrzenionym atakom z 2006 roku oraz ich geograficznemu pochodzeniu. Informacje te zostaną porównane z danymi z 2005 roku. Raport zawiera także prognozę na bieżący rok.

20 najpopularniejszych sond i ataków internetowych 2006 roku

W porównaniu z 2005 rokiem liczba sond HTTP GET Generic wzrosła o 2%, lecz jest mniejsza niż w pierwszej połowie 2006 roku. Może to oznaczać, że spamerzy doszli już do punktu nasycenia i wysyłają tak dużo spamu przez otwarte serwery proxy, jak to tylko jest możliwe. Nie ma już więcej otwartych serwerów proxy, które mogliby wykorzystać. Niewielkie wahania w liczbie sond dla tej usługi związane są z pojawianiem się i znikaniem nowych szkodliwych programów, a w szczególności szkodników, które instalują pirackie, darmowe lub zhakowane serwery proxy na atakowanych systemach.

Z drugiej strony, wzrost (nie mniejszy niż 12%) liczby sond wyszukujących serwery MSSQL pozwolił im na awans o cztery pozycje w naszym zestawieniu. Można to wytłumaczyć na kilka sposobów. Po pierwsze, boty z niesławnych rodzin Rbot oraz Agobot są na tyle skomplikowane, że zawierają exploity dla niemal każdej znanej luki. Ponadto, pojawienie się botów o otwartym kodzie poskutkowało powstaniem wielu nowych rodzin, które również zawierają te exploity. Różnią się one nieznacznie od botów wspomnianych powyżej. Ostatecznie, pojawia się coraz więcej aplikacji atakujących strony internetowe. Mimo że ulubioną platformą cyberprzestępców jest AMP (Linux, Apache, MySQL, PHP), MSSQL także staje się coraz popularniejszym celem ataków. Oczywiście, w wielu z tych systemów wyeliminowano większość luk wraz z kolejnymi aktualizacjami, jednak słabe hasło administratora może zostać wykorzystane do przeprowadzenia ataku niezależnie od wersji serwera.

Mimo sędziwego (jak na szkodliwe oprogramowanie) wieku czterech lat, Slammer w dalszym ciągu aktywnie się rozprzestrzenia. Mało tego, szkodnik ten zdołał wspiąć się o jedno miejsce w naszym zestawieniu i nic nie wskazuje na to, aby jego aktywność miała ulec zmniejszeniu. Jak już wspominaliśmy w poprzednich raportach, Slammer aktywnie korzysta z całych hord zainfekowanych komputerów w Azji i innych częściach świata.

Anonimowe próby logowania się do serwerów FTP przeskoczyły w zestawieniu do góry o rekordowe 15 pozycji i wylądowały na czwartym miejscu. Stały się one mniej powszechne w drugiej połowie 2006 roku i można dostrzec przesłanki wskazujące na dalszy spadek ich liczby w nadchodzących kilku miesiącach. Są one głównie wykorzystywane do wyszukiwania otwartych serwerów, które często służą do przechowywania szkodliwych programów lub pirackiego oprogramowania (tzw. "warezów"). Serwery FTP z pewnością nie są najwydajniejszą formą rozprzestrzeniania i dlatego inne systemy, takie jak BitTorrent czy Hamachi, stają się coraz popularniejsze w komputerowym podziemiu.

Niesławny exploit polegający na przepełnieniu bufora w interfejsie Microsoft RPC zanotował wzrost o pięć pozycji w porównaniu z 2005 rokiem. Jednocześnie, ogólny stopień jego rozpowszechnienia znacznie zmniejszył się w drugiej połowie 2006 roku. Jest to stosunkowo stara luka (usunięta już w 2003 roku) i bez wątpienia exploit ten będzie dalej tracił na popularności, stając się docelowo jedynie częścią szumu internetowego.

Liczebność Radmina, drugiej co do popularności sondy w 2005 roku, znacznie się zmniejszyła. Co interesujące, liczba ta wzrosła w drugiej połowie 2006 roku. Może to być spowodowane dużą liczbą exploitów i bibliotek pozwalających na ich tworzenie krążących w Internecie.

Na popularności zyskała także metoda siłowego łamania haseł Secure Shell - wzrost o jedną pozycję w porównaniu z rokiem 2005. Warto podkreślić, że ogólnie siłowe łamanie słabych haseł staje się coraz popularniejsze. Patrząc na uwagę jaką giganci na rynku oprogramowania, tacy jak Microsoft, przykładają do kwestii bezpieczeństwa, należało się spodziewać, że cyberprzestępcy zaczną się skupiać na ludziach - najsłabszym ogniwie w łańcuchu bezpieczeństwa.

Exploity dla luki Microsoft ASN.1 są obecnie wykorzystywane niemal wyłącznie w botach, wraz z kilkoma innymi exploitami atakującymi stosunkowo stare luki. Na przykład, luka WebDAV, opisana w biuletynie Microsoft Security Bulletin MS03-007, jest o rok starsza od luki ASN.1 a jej popularność jest niewiele mniejsza.

Robak Blaster (który wraz ze swoimi modyfikacjami znalazł się w 2005 roku na 12 miejscu naszego zestawienia) zdołał przeskoczyć o dwie pozycje w górę. Robak ten nie wywołuje wielu infekcji, jednak jego obecność w Sieci nie zmniejsza się w dużym tempie. Z całą pewnością szkodnik ten długo jeszcze będzie stanowił znaczną część szumu internetowego. Warto wspomnieć, że Microsoft dostarcza narzędzie usuwające z systemu Blastera poprzez mechanizm Windows Update. Wynika z tego wniosek, że maszyny, które są w dalszym ciągu zainfekowane Blasterem prawdopodobnie działają pod kontrolą starych wersji systemu Windows (na przykład, NT 4), które nie posiadają mechanizmu automatycznej aktualizacji. Z ciekawością będziemy obserwować sytuację po wprowadzeniu na rynek najnowszego systemu Microsoftu - Windows Vista. Z dużym prawdopodobieństwem stare systemy będą uaktualniane do nowszych wersji Windowsa (dzięki spadkowi ceny), a może nawet bezpośrednio do Visty.

Sonda HTTP CONNECT również zanotowała znaczny wzrost - o cztery miejsca w porównaniu z 2005 rokiem. Z uwagi na to, że jest to alternatywna metoda wyszukiwania otwartych serwerów proxy, wzrost jej popularności (zaobserwowany już w drugiej połowie 2006 roku) z całą pewnością będzie się utrzymywał.

Robak Lupper wraz ze swoimi modyfikacjami praktycznie wymarł, lecz jego aktywność była wyraźnie widoczna w pierwszych dwóch miesiącach 2006 roku. Lupper udowodnił nie tylko to, że robaki dla platform innych niż Windows mogą się szeroko rozprzestrzeniać, ale także, że mogą to robić całkiem szybko. Ostatnie doniesienie o aktywności Luppera otrzymaliśmy w czerwcu 2006 roku.

Aktywność exploitów WINS wzrosła nieznacznie. Wzrost ten jest prawdopodobnie spowodowany obecnością różnych robaków, które zawierają te oraz setki innych exploitów.

Interesujące jest piętnaste miejsce zestawienia - sondy CGI-BIN. Obserwowaliśmy już te sondy w przeszłości, jednak ich aktywność znacznie wzrosła w 2006 roku. Skąd biorą się te sondy? Niektóre z nich są związane z aktywnością robaków wykorzystujących te same skrypty, co Lupper i jego modyfikacje, podczas gdy inne są generowane przez różne narzędzia hakerskie.

Kolejnym interesującym rezydentem zestawienia są sondy HTTP POST back. Podejmują one próby inicjowania połączenia (najczęściej na porcie 16667, 6667 lub 6660) z maszyną, z której połączenie było pierwotnie nawiązywane. Na komputerach tych znajduje się usługa rejestrująca wszystkie połączenia. W ten sposób sonda określa, czy ma do czynienia z otwartym serwerem proxy.

Podsumowując nasze obserwacje z 2006 roku widzimy dwa wyraźne trendy. Po pierwsze, stare exploity stają się częścią szumu internetowego i są najczęściej wykorzystywane przez boty. Po drugie, mimo że pojawiły się nowe luki i są one wykorzystywane w zdalnych atakach internetowych, uwaga cyberprzestępców wydaje się koncentrować na wyszukiwaniu i łamaniu serwerów (takich jak SSH czy MSSQL), które są zabezpieczone słabymi hasłami.

10 najpopularniejszych luk wykorzystywanych w atakach internetowych

Pod względem luk wykorzystywanych w atakach internetowych rok 2006 wyróżnia się od poprzednich lat. Wynika to przede wszystkim ze zwiększenia się liczby exploitów wykrytych dla systemów operacyjnych i produktów stworzonych przez firmy inne niż Microsoft. Jednak, w drugiej połowie 2006 roku zaobserwowaliśmy znaczny spadek liczby takich exploitów, co z kolei związane jest z wyginięciem robaka Lupper odpowiedzialnego za ataki na platformy inne niż Windows.

Interesujące jest zwiększenie zainteresowania cyberprzestępców atakami na serwery MSSQL. Z tego powodu luki, które zajmowały pierwsze i drugie miejsce w raporcie z pierwszej połowy 2006 roku zamieniły się miejscami z atakami wykorzystującymi lukę opisaną w biuletynie Microsoft Security Bulletin MS02-039, które są teraz najpopularniejsze.

Podobnie jak w poprzednim raporcie, żadna z luk wykrytych w 2006 roku nie znalazła się w pierwszej dziesiątce.

20 najpopularniejszych portów wykorzystywanych w atakach internetowych

W 2006 roku obserwowaliśmy znaczne zwiększenie liczby połączeń nawiązywanych na porcie 1433, który jest powszechnie wykorzystywany przez MSSQL. Przełom ten nastąpił w drugiej połowie roku - wzrost z 1,68% do 12,59% wszystkich atakowanych portów. Jednak, większość ataków i sond w dalszym ciągu wykorzystuje port 445, który w najnowszych wersjach systemów Windows jest używany do współdzielenia plików i drukarek (SMB) poprzez TCP.

Porty 1025, 1026 oraz 1027 są wykorzystywane przez usługę Windows Messenger i w dalszym ciągu są często wybierane przez spamerów. Usługa ta (nie należy jej mylić z komunikatorem MSN Messenger) jest domyślnie wyłączona w systemach Windows XP SP2 i nowszych. Nie powstrzymuje to jednak spamerów, którzy dalej wysyłają swoje pakiety.

Port 80, wykorzystywany przez połączenia HTTP, ciągle znajduje się na czwartym miejscu. Najwięcej połączeń na porcie 80 generują spamerzy szukający otwartych serwerów proxy. Ataki takie najczęściej zaczynają się od podmiany strony głównej (index.html), po czym następuje próba podmiany całej zdalnej strony. Ponadto, za dużą liczbę połączeń na porcie 80 są także odpowiedzialne silniki wyszukiwania stron WWW. Na przykład, Googlebot potrzebował zaledwie sześciu godzin na zlokalizowanie w Internecie nowego honeypota Kaspersky Lab (komputera badającego obecność ataków i szkodliwego kodu w ruchu internetowym).

Popularność portu 21, wzrastająca przez sześć pierwszych miesięcy 2006 roku, zmniejszyła się w ciągu ostatnich kilku miesięcy. Wygląda na to, że cyberprzestępcy znaleźli bardziej wydajny sposób dystrybuowania szkodliwego oprogramowania lub dotarło do nich, że serwery FTP nie są dla nich najlepszym rozwiązaniem.

Rozkład geograficzny ataków i sond internetowych

W ciągu ostatnich trzech lat Chiny i Stany Zjednoczone walczyły o wątpliwy zaszczyt przodowania w zestawieniu ?Rozkład geograficzny ataków i sond internetowych". W 2004 roku Stany Zjednoczone były numerem jeden, w 2005 roku najczęściej atakowane były Chiny (27,38% wszystkich ataków na całym świecie). W pierwszej połowie 2006 roku w USA zarejestrowano ponad 40% wszystkich ataków. Jednak, w drugiej połowie roku sytuacja ponownie uległa zmianie.

Obecnie liczba ataków pochodzących z USA maleje i Chiny ponownie wychodzą na prowadzenie, notując wzrost z 17% w pierwszej połowie ubiegłego roku do 21,73% w całym roku 2006. Wzrost ten był szczególnie widoczny w ostatnich kilku miesiącach roku.

Interesującą pozycją na liście jest Arabia Saudyjska, która jest odpowiedzialna za 1,97% wszystkich ataków. Warto także wspomnieć o Ukrainie, która pojawiła się w zestawieniu po raz pierwszy zajmując od razu czwarte miejsce. Nowością jest także Izrael wchodzący do listy na 19 miejscu.

Liczba ataków pochodzących z Niemiec i Filipin znacznie spadła. W przeszłości kraje te były źródłem niezliczonych ataków, zatem miło jest obserwować taką poprawę sytuacji.

Ważne łaty i pakiety service pack

W 2006 roku Microsoft opublikował 78 biuletynów bezpieczeństwa opisujących różne luki. Większość z tych luk znajduje się w systemach Windows, jednak pewne błędy w zabezpieczeniach zostały także wykryte w pakiecie Office i innych produktach.

Niektóre z tych biuletynów, takie jak MS06-070 (Vulnerability in Workstation Service Could Allow Remote Code Execution (924270)) oraz MS06-040 (Vulnerability in Server Service Could Allow Remote Code Execution (921883)), opisują luki, które mogą zostać wykorzystane bezpośrednio przez Internet, jednak nie zarejestrowano żadnych ataków przeprowadzanych za ich pośrednictwem. Powodem może być zgłoszenie tych luk Microsoftowi przez firmy zajmujące się wyszukiwaniem błędów w oprogramowaniu i z tego powodu exploity nigdy nie zostały upublicznione. Innym możliwym wytłumaczeniem może być to, że większość maszyn, do których można uzyskać dostęp przez Internet (na przykład, komputery bez zapory ogniowej) działa pod kontrolą starych wersji systemów Windows, które są podatne na inne, znacznie prostsze do przeprowadzenia ataki.

Ogólnie, liczba luk wykrytych w 2006 roku w produktach Microsoftu i wykorzystywanych bezpośrednio poprzez Internet jest bardzo mała. Nie bierzemy tutaj pod uwagę luk, które można wykorzystać zdalnie lecz wymagają bezpośredniej interakcji użytkownika. Ten typ luk był masowo wykorzystywany w ciągu 2006 roku i dlatego zostaną one omówione w najbliższej przyszłości w oddzielnym raporcie. Luki takie opisano w biuletynach MS06-078 (Vulnerability in Windows Media Format Could Allow Remote Code Execution (923689)), MS06-071 (Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (928088)) oraz MS06-062 (Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)).

Jak zawsze, można użyć przeglądarki Internet Explorer do wejścia na stronę http://update.microsoft.com i uaktualnić dziurawy system. Nie należy zapominać o aktualizacji pakietu Office - wiele z luk wykrytych w 2006 roku występuje w jego modułach, a w szczególności w programach Word oraz PowerPoint.

W 2006 roku wykryto szereg poważnych luk w systemach Linux, z których większość związana jest bezpośrednio z jądrem tego systemu operacyjnego. Niektóre z tych luk pozwalają na przeprowadzanie ataków DoS na niezałatane komputery, inne umożliwiają zmianę uprawnień na wyższe. Warto podkreślić, że współczesne dystrybucje Linuksa instalują różne inne pakiety oprogramowania, w związku z czym w wielu przypadkach luk tych nie można w 100% nazwać "linuksowymi". Na przykład, na początku 2007 roku zgłoszono poważną lukę w systemie pocztowym sendmail, który nie jest domyślnie instalowany w większości nowoczesnych dystrybucji Linuksa. Jednak, w większości ataków przeprowadzanych w 2006 roku na systemy linuksowe wykorzystywane były luki istniejące w takich właśnie dodatkowych pakietach oprogramowania. Na przykład, w maju 2006 roku wykryto lukę w popularnym programie wykorzystywanym do blogowania - WordPress. Luka pozwala na wykonanie kodu na dziurawej maszynie. Mimo że WordPress nie jest domyślnie instalowany w większości dystrybucji Linuksa, jest to bardzo popularny program i wiele firm hostingowych załącza go do swoich pakietów. Eksperci z branży ochrony IT nieustannie powtarzają, że bezpieczeństwo jest jak łańcuch a łańcuch jest tak wytrzymały, jak silne jest jego najsłabsze ogniwo.

Poza odpowiednim zabezpieczeniem i ograniczeniem dostępu do usług z zewnątrz, należy o pobieraniu aktualizacji. Uaktualnianie systemów Linux (i ogólnie systemów uniksowych) jest tak samo ważne, jak w przypadku systemów Windows. Dzięki narzędziom takim jak 'yum? oraz 'apt? aktualizacja jest szybka i prosta.

W roku 2006 ujawniono także szereg luk dla systemu MacOS X, z których pewne pozwalają na wykonanie dowolnego kodu na niezałatanym komputerze. Żadna z nich nie została wykorzystana do przeprowadzenia ataku (a przynajmniej nie pojawiły się żadne doniesienia, które mogłyby to potwierdzić), a firma Apple bardzo szybko opublikowała odpowiednie uaktualnienia. Ponadto, dobrą cechą systemu MacOS X jest domyślnie włączona automatyczna aktualizacja. Dzięki temu niezałatane maszyny z jabłkiem na obudowie są rzadkością w Internecie.

Podsumowanie

Analiza danych z 2006 roku ujawniła dwa główne trendy w ewolucji ataków przeprowadzanych przez Internet.

Pierwszy trend to stały "szum internetowy" generowany przez robaka Slammer i armie botów wykorzystujących stosunkowo stare luki. Większość tych maszyn znajduje się w Azji i nic nie wskazuje na ich szybkie zniknięcie. Szum ten generuje obecnie około 15% ruchu sieciowego, co nie jest szczególnie wysoką wartością (można ją porównać z udziałem spamu w ruchu sieciowym w roku 1999). Można przypuszczać, że wraz z pojawieniem się nowych systemów operacyjnych liczba starszych i dziurawych systemów ulegnie zmniejszeniu. Doprowadziłoby to także do przytłumienia szumu internetowego. Byłoby wysoce niefortunne, gdyby objętość szumu internetowego wzrosła do poziomu, jaki obecnie osiąga spam. Korzystanie z Internetu składającego się w 90% z szumu byłby nie tylko uciążliwe - byłoby po prostu niemożliwe.

Drugi trend jest znacznie bardziej istotny z punktu widzenia ewolucji Internetu. Wraz ze wzrostem zainteresowania producentów oprogramowania kwestią bezpieczeństwa i zwiększeniem szybkości publikowania łat liczba nowych luk, które można wykorzystać bezpośrednio przez Internet bardzo szybko maleje. Większość nowych dystrybucji Linuksa wyposażona jest w mechanizmy automatycznej aktualizacji. Po pojawieniu się błędu system operacyjny automatycznie pobierze i zainstaluje odpowiednią łatę. Użytkownik może o tym nawet nie wiedzieć. To samo dotyczy Microsoftu, który dokłada wszelkich starań do zapewnienia efektywności mechanizmu Windows Update. Działania te wymusiły u cyberprzestępców zmianę podejścia do ataków przeprowadzanych przez Internet. Efekty tych zmian będziemy z całą pewnością obserwować w nieodległej przyszłości. Już teraz cyberprzestępcy skupiają się na atakowaniu systemów chronionych słabymi hasłami. Świadczy o tym wzrost liczby ataków na usługi MSSQL, SSH, FTP i inne polegających na siłowym łamaniu haseł.

Spadek liczby luk, które mogą zostać wykorzystane zdalnie przez Internet zaowocował także innym trendem: cyberprzestępcy zaczęli wykorzystywać metody przeprowadzania ataków w oparciu o strony WWW. W takim przypadku użytkownik musi odwiedzić szkodliwą stronę WWW, aby atak mógł zostać przeprowadzony, jednak to nie powstrzymuje cyberprzestępców przed korzystaniem z tej techniki. W rzeczywistości, liczba ataków wykorzystujących strony WWW wzrosła tak bardzo, że jest to obecnie preferowana metoda dostarczania szkodliwego kodu. Już wkrótce opublikujemy kolejny raport, w którym ataki takie zostaną omówione szczegółowo.

Jeżeli chodzi o zapobieganie atakom, rozwiązanie jest całkiem proste. Podczas gdy nie można nic poradzić na szum internetowy, istnieje prosty sposób zapobiegania atakom, których celem jest uzyskanie dostępu do usług "widocznych" z Internetu i chronionych wyłącznie hasłami. Należy zadbać o to, aby każda z tych usług posiadała dodatkową kontrolę dostępu (poza hasłem): usługi takie powinny wykorzystywać metody wymuszające przynajmniej dwustopniowe uwierzytelnianie. Dla SSH można wyłączyć uwierzytelnianie w oparciu o hasło i używać kluczy publicznych chronionych przez lokalne hasła. Serwer FTP można zastąpić serwerem SFTP a do dostępu do stron WWW można używać protokołu SSL oraz certyfikatów użytkowników. Niestety, dwustopniowe uwierzytelnianie dla MSSQL może stanowić problem, dla którego chwilowo nie istnieje żadne proste rozwiązanie. Jednak, można zadbać o to, aby do serwerów SQL mogły mieć dostęp wyłącznie uwierzytelnione komputery (wystarczy odfiltrować cały "świat zewnętrzny" przy użyciu zapory ogniowej).

Gdyby te proste czynności zostały wykonane przez wszystkie osoby odpowiedzialne za sieci komputerowe, Internet stałby się znacznie bezpieczniejszym miejscem dla wszystkich. Korzyści są oczywiste.

Źródło: Kaspersky Lab