Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Ataki internetowe

Costin Raiu
Szef dzia艂u bada艅 i rozwoju, Kaspersky Lab Rumunia

Ataki internetowe: stycze艅 - czerwiec, 2006
  1. Ewolucja z艂o艣liwego oprogramowania
  2. Z艂o艣liwe programy dla platform innych ni偶 Win32
  3. Ataki internetowe
  4. Z艂o艣liwe programy dla urz膮dze艅 przeno艣nych
  5. Raport o spamie

W poprzednim raporcie Kaspersky Lab1 om贸wili艣my najpopularniejsze formy atak贸w przeprowadzanych za po艣rednictwem Internetu w 2005 roku oraz przedstawili艣my rozk艂ad tych atak贸w ze wzgl臋du na pa艅stwo, w kt贸rym zosta艂y zainicjowane. Raport zawiera艂 r贸wnie偶 przegl膮d ewolucji niekt贸rych popularnych z艂o艣liwych program贸w na przestrzeni roku. G艂贸wnym 藕r贸d艂em atak贸w okaza艂y si臋 Chiny: 38% atak贸w internetowych powodowa艂y z艂o艣liwe programy, kt贸re powsta艂y w艂a艣nie w tym pa艅stwie.

W najnowszym artykule analizujemy ataki przechwycone za pomoc膮 sieci Smallpot w pierwszej po艂owie 2006 roku. Ponadto, przedstawimy rozk艂ad tych atak贸w ze wzgl臋du na 藕r贸d艂owy adres IP oraz pa艅stwo pochodzenia i okre艣limy, czy od 2005 roku nast膮pi艂y jakie艣 istotne zmiany. Ostatnia cz臋艣膰 artyku艂u po艣wi臋cona jest 艂atom opublikowanym w pierwszej po艂owie 2006 roku, kt贸re mog膮 mie膰 wp艂yw na ewolucj臋 atak贸w internetowych i z艂o艣liwego oprogramowania, oraz zawiera wnioski i prognozy na przysz艂o艣膰.

Statystyki

Pozycja Udzia艂 procentowy Typ Nazwa Biuletyn Zmiana pozycji
1 37,39 sonda HTTP GET Generic
2 12,72 sonda FTP +17
3 9,28 exploit Buffer Overrun in Microsoft RPC Interface MS03-026 +7
4 9,20 robak Slammer.A MS02-039
5 4,07 robak Lupper CVE-2005-1921, CVE-2005-0116, CVE-2005-1950 nowo艣膰
6 3,90 robak Blaster MS03-026 +6
7 3,81 sonda Webdav MS03-007 -2
8 3,77 sonda Radmin -6
9 3,27 sonda SSH bruteforce -1
10 2,27 sonda MSSQL -4
11 2,22 exploit Microsoft ASN.1 MS04-007 -2
12 0,87 exploit WINS MS04-045 +6
13 0,80 sonda HTTP CONNECT -3
14 0,44 exploit Microsoft SQL Server 2000 Resolution Service MS02-039 -7
15 0,22 sonda Dabber   +1
16 0,13 exploit Dameware VU#909678 -2
17 0,12 çîíä Dipnet   -14
18 0,11 sonda Kuang backdoor execute command nowo艣膰
19 0,09 sonda HTTP HEAD Generic nowo艣膰
20 0,09 sonda SSL Handshake nowo艣膰
20 najpopularniejszych sond i atak贸w internetowych w pierwszej po艂owie 2006 roku.

Ilo艣膰 spamu wysy艂anego za po艣rednictwem Internetu nie uleg艂a znacznemu zmniejszeniu, dlatego nikogo nie powinno dziwi膰, 偶e pierwsze miejsce nadal zajmuje sonda generyczna HTTP GET. Og贸lnie, odnotowali艣my znaczny, 5 procentowy wzrost liczby sond. 艢wiadczy to o tym, 偶e poszukiwanie otwartych serwer贸w proxy, kt贸re mog膮 zosta膰 p贸藕niej wykorzystane do wysy艂ania spamu, wci膮偶 jest bardzo popularne. Przyczyn膮 jest dochodowo艣膰 tego procederu.

Na drugim miejscu znajduj膮 si臋 pr贸by anonimowego logowania FTP. Od poprzedniego roku sondy te awansowa艂y o siedemna艣cie miejsc i stanowi膮 teraz 12% ca艂kowitej liczby sond i atak贸w. W wi臋kszo艣ci przypadk贸w s膮 one generowane przez automatyczne narz臋dzia przeznaczone do wyszukiwania stron ftp, kt贸re mo偶na wykorzysta膰 do zamieszczenia i wsp贸艂dzielenia nielegalnego oprogramowania.

G艂o艣na luka wykorzystywana przez robaka Blaster - przepe艂nienie bufora w interfejsie RPC, opisana w biuletynie MS03-026, r贸wnie偶 przesun臋艂a si臋 w g贸r臋, a偶 o siedem pozycji. Przyczyn膮 mo偶e by膰 wzrost liczby bot贸w (warianty oparte na Rbot i IRCbot) wykorzystuj膮cych exploity na t臋 luk臋. Ich kod 藕r贸d艂owy jest powszechnie dost臋pny. Jest to tylko jedna z luk wykorzystywanych przez takie boty, jednak zdecydowanie najpopularniejsza, pomimo tego 偶e istnieje ju偶 od ponad trzech lat.

Slammer, robak atakuj膮cy serwery MS SQL, zosta艂 wypuszczony w styczniu 2003 roku i wci膮偶 aktywnie si臋 rozprzestrzenia - liczba raport贸w dotycz膮cych tego robaka ro艣nie. Szkodnik ten odpowiada za 9,20% wszystkich atak贸w internetowych, co oznacza, 偶e dowolny komputer pod艂膮czony do Internetu stanie si臋 ofiar膮 Slammera przynajmniej raz dziennie.

Na pi膮tym miejscu znajduje si臋 Lupper, stosunkowo m艂ody robak dla Linuksa, kt贸ry wykorzystuje r贸偶ne exploity atakuj膮ce popularne skrypty/biblioteki PHP/CGI. Szkodnik ten pojawi艂 si臋 w listopadzie 2005 roku, potrzebowa艂 jednak troch臋 czasu, aby rozprzestrzeni膰 si臋 w Internecie. Ponad 4% wszystkich raport贸w otrzymanych w pierwszej po艂owie 2006 roku dotyczy Luppera.

Miesi膮c Udzia艂 procentowy
Stycze艅 62,73
Luty 23,24
Marzec 5,75
Kwiecie艅 1,65
Maj 0,20
Czerwiec 6,44
Ataki robaka Net-Worm.Linux.Lupper.a (i jego wariant贸w) stycze艅-czerwiec, 2006

Jak wynika z tabeli, wi臋kszo艣膰 atak贸w przeprowadzonych przez tego robaka nast膮pi艂o w styczniu i w lutym, po czym ich liczba spad艂a. Powodem czerwcowego wzrostu liczby atak贸w Luppera by艂a ewolucja jego nowych wersji zdolnych do wykorzystywania nowo wykrytych exploit贸w.

Interesuj膮ce jest to, wraz z rozpowszechnieniem si臋 luki przepe艂nienia bufora interfejsu RPC zwi臋kszy艂a si臋 liczba robak贸w Blaster, kt贸re wci膮偶 rozprzestrzeniaj膮 si臋 za po艣rednictwem Internetu. Chocia偶 daleko mu do popularno艣ci Slammera, Blaster wci膮偶 stanowi 4% wszystkich atak贸w.

Ataki Webdav (MS03-007), przeprowadzane za pomoc膮 bot贸w i narz臋dzi hakerskich, spad艂y o dwa miejsca. Takie ataki s膮 stosunkowo stare i prawdopodobnie mniej skuteczne ni偶 kiedy艣. Wci膮偶 jednak wykorzystuj膮 je powsta艂e niedawno robaki, kt贸re rozprzestrzeniaj膮 si臋 za po艣rednictwem nowszych luk.

Ataki Radmina, kt贸re w rankingu z 2005 roku znajdowa艂y si臋 na trzecim miejscu, spad艂y o sze艣膰 pozycji. Bior膮c pod uwag臋 fakt, 偶e dost臋pne s膮 艂aty na zagro偶one wersje oprogramowania oraz powstaj膮 nowsze wersje Radmina, liczba tych atak贸w prawdopodobnie nadal b臋dzie spada膰.

Na miejscu dziewi膮tym i dziesi膮tym znajduj膮 si臋 ataki "SSH password brute force" oraz pr贸by "MSSQL handshake" (po kt贸rych nast臋puj膮 zazwyczaj pr贸by logowania brute force). Oba s膮 ma艂o skutecznymi metodami w艂amywania do systemu i dlatego cz臋艣ciej wykorzystywane s膮 w atakach na sprecyzowane cele ni偶 na du偶膮 skal臋. Naturalnie, po zidentyfikowaniu systemu jako dzia艂aj膮cego na serwerze SSH lub MSSQL osoba atakuj膮ca mo偶e rozpocz膮膰 atak s艂ownikowy maj膮cy na celu z艂amanie has艂a typowych kont, takich jak "root" czy "SA".

Liczba exploit贸w Microsoft ASN.1 spad艂a o oko艂o 0,5%, o dwie pozycje. W przesz艂o艣ci exploity te przypisywane by艂y wariantom Rbot i Bozori.c. Warianty Rbot wci膮偶 rozprzestrzeniaj膮 si臋, jednak Bozori.c znajduje si臋 obecnie na kraw臋dzi wymarcia, co wyja艣nia spadek liczby atak贸w.

Z drugiej strony, rozpowszechni艂y si臋 nowsze ataki WINS, kt贸re wykorzystywane s膮 g艂贸wnie w robakach sieciowych.

Najwi臋kszy spadek, z trzeciego miejsca w zesz艂ym roku na siedemnaste, wykazuj膮 sondy szukaj膮ce backdoora zainstalowanego przez robaka Dipnet. Poniewa偶 jesieni膮 2005 roku Dipnet niemal ca艂kowicie znikn膮艂 ze sceny, szanse znalezienia komputera, kt贸ry by艂by zainfekowany tym robakiem, s膮 raczej niewielkie. Spamerzy wykorzystuj膮cy automatyczne narz臋dzia do wyszukiwania takich komputer贸w bez w膮tpienia dostosowali swoje taktyki do sytuacji.

W艣r贸d 20 najpopularniejszych sond i atak贸w internetowych w pierwszej po艂owie 2006 roku znajduj膮 si臋 cztery nowo艣ci. Opr贸cz Luppera, przechwytywali艣my coraz wi臋cej sond poszukuj膮cych backdoora Kuang, 偶膮da艅 HTTP HEAD i 偶膮da艅 SSL handshake. Wzrost liczby pierwszej z sond mo偶na przypisa膰 robakom, kt贸re potrafi膮 rozmna偶a膰 si臋 poprzez infekowanie komputer贸w, kt贸re zosta艂y ju偶 zainfekowane backdoorem Kuang; pozosta艂e s膮 typowymi sondami "request for information".

10 najpopularniejszych luk wykorzystywanych w atakach internetowych

Pozycja Biuletyn Opis
1 MS03-026 Przepe艂nienie bufora w interfejsie RPC mo偶e umo偶liwi膰 uruchomienie kodu
2 MS02-039 Przepe艂nienie bufora w us艂udze SQL Server 2000 Resolution Service mo偶e umo偶liwi膰 uruchomienie kodu
3 MS03-007 Niesprawdzany bufor w sk艂adniku systemu Windows mo偶e by膰 przyczyn膮 z艂amania zabezpiecze艅 serwera sieci Web
4 MS04-007 Luka w technologii ASN.1 umo偶liwia wykonanie kodu
5 CVE-2005-1921 Luka w PEAR XML_RPC 1.3.0 i wcze艣niejszych wersjach (aka XML-RPC lub xmlrpc) oraz PHPXMLRPC (aka XML-RPC dla PHP lub php-xmlrpc) 1.1 i wcze艣niejszych wersjach
6 CVE-2005-0116 AWStats 6.1, i wersje wcze艣niejsze ni偶 6.3, pozwala zdalnemu agresorowi na wykonanie dowolnych polece艅 poprzez metaznaki pow艂oki w parametrze configdir
7 CVE-2005-1950 hints.pl w Webhints 1.03 pozwala zdalnemu agresorowi na wykonanie dowolnych polece艅 poprzez metaznaki pow艂oki w argumencie
8 MS04-045 Luka w us艂udze WINS mo偶e pozwoli膰 na zdalne wykonanie kodu
9 VU-909678 Luka: przepe艂nienie bufora w DameWare Mini Remote Control
10 MS03-051 Przepe艂nienie bufora w Microsoft FrontPage Server Extensions mo偶e pozwoli膰 na wykonanie kodu
10 najpopularniejszych luk wykorzystywanych w atakach internetowych, stycze艅-czerwiec 2006

W por贸wnaniu z zesz艂ym rokiem wzros艂a liczba pr贸b wykorzystania luk w systemach operacyjnych i produktach producent贸w innych ni偶 Microsoft. Niekt贸re z luk wykorzystywanych przez Luppera znalaz艂y si臋 w dwudziestce najpopularniejszych atak贸w internetowych i sond, zajmuj膮c pi膮t膮, sz贸st膮 i si贸dm膮 pozycj臋.

Najcz臋艣ciej wykorzystywan膮 luk膮 w atakach internetowych w pierwszej po艂owie 2006 roku by艂a luka przepe艂nienia bufora w interfejsie RPC, opisana w biuletynie Microsoftu Security Bulletin MS03-026, kt贸ra bardziej znana jest jako luka wykorzystywana przez Blastera.

Chocia偶 od czasu opublikowania ostatniego raportu liczba exploit贸w na luki opisane w biuletynach MS03-026 i MS03-007 spad艂a, programy te wci膮偶 s膮 powszechnie wykorzystywane, zar贸wno przez z艂o艣liwe oprogramowanie, jak i osoby atakuj膮ce.

Ostatni膮 powa偶n膮 r贸偶nic臋 stanowi pojawienie si臋 w rankingu luki opisanej w biuletynie MS03-051, kt贸ra znajduje si臋 na dziesi膮tym miejscu. Biuletyn Bezpiecze艅stwa, zatytu艂owany "Buffer Overrun in Microsoft FrontPage Server Extensions Could Allow Code Execution (813360)" zawiera odno艣niki do aktualizacji bezpiecze艅stwa, kt贸re s膮 niezb臋dne w celu za艂atania zagro偶onych komputer贸w.

Wszystkie dziesi臋膰 najpopularniejszych luk zosta艂o wykrytych jeszcze przed 2006 rokiem. Nie oznacza to, 偶e nowsze luki nie s膮 w og贸le wykorzystywane, a jedynie to, 偶e ich wykorzystywanie nie odbywa si臋 na du偶膮 skal臋.

20 port贸w najcz臋艣ciej wykorzystywanych do atak贸w internetowych

Pozycja Udzia艂 procentowy Port
1 34,85 445
2 24,99 1026 (UDP)
3 17,89 80
4 5,07 1027 (UDP)
5 3,72 1025 (UDP)
6 3,09 21
7 2,64 135
8 2,63 1434 (UDP)
9 1,68 1433
10 0,89 4899
11 0,79 22
12 0,54 4444
13 0,31 3128
14 0,26 42
15 0,11 5554
16 0,11 6588
17 0,08 443
18 0,04 6129
19 0,03 17300
20 0,03 3127
20 port贸w najcz臋艣ciej wykorzystywanych do atak贸w internetowych, stycze艅 - czerwiec 2006

W przesz艂o艣ci lista 20 najcz臋艣ciej wykorzystywanych port贸w w atakach internetowych okaza艂a si臋 cennym 藕r贸d艂em informacji na temat luk najbardziej poszukiwanych przez haker贸w i cyberprzest臋pc贸w. W 2005 roku najcz臋stszym celem w przypadku komputer贸w dzia艂aj膮cych pod kontrol膮 system贸w Windows by艂 port 445. Nikogo nie powinno dziwi膰, 偶e sondy portu 445 wci膮偶 znajduj膮 si臋 na pierwszym miejscu listy dla pierwszej po艂owy 2006 roku. Ju偶 w poprzednim raporcie sformu艂owali艣my wniosek, 偶e celem ogromnej wi臋kszo艣ci atak贸w internetowych s膮 albo bardzo stare wersje system贸w Windows, albo bardzo nowe, nieza艂atane luki.

Zauwa偶yli艣my bardzo interesuj膮cy wzrost liczby sond i atak贸w na porty 1025, 1026 i 1027. Wszystkie z nich wykorzystywane s膮 przez spamer贸w do wysy艂ania wiadomo艣ci poprzez Windows Messenger Service. Chocia偶 w nowszych wersjach system贸w Windows s膮 one domy艣lnie blokowane, ogromna liczba komputer贸w dzia艂aj膮cych pod kontrol膮 system贸w Windows 2000 i Windows XP bez SP2 sprawia, 偶e porty te s膮 popularnym celem.

Ataki na port 80 pozostawa艂y na mniej wi臋cej sta艂ym poziomie. Interesuj膮ce jest to, 偶e w niekt贸rych przypadkach, maszyny Smallpot zosta艂y trafione przez boty wyszukiwarek, kt贸re wydawa艂y si臋 sondowa膰 losowe adresy IP w Internecie. Po zidentyfikowaniu serwera sieciowego modu艂 silnika wyszukuj膮cego pr贸bowa艂 schwyta膰 stron臋 g艂贸wn膮, a potem ca艂膮 stron臋 www. Wyja艣nia to, dlaczego osoby, kt贸re stworzy艂y swoje serwisy internetowe na komputerach domowych, stwierdza艂y p贸藕niej, 偶e adresy ich strony wymienione s膮 w g艂贸wnych wyszukiwarkach, chocia偶 nie opublikowa艂y ich nigdzie w Internecie.

Zwi臋kszy艂a si臋 r贸wnie偶 liczba sond portu 21 (FTP), kt贸re awansowa艂y na li艣cie o 12 pozycji. Jak m贸wili艣my w poprzednim rozdziale, port FTP sta艂 si臋 popularnym celem narz臋dzi identyfikuj膮cych strony, kt贸re mog膮 zosta膰 wykorzystane do dystrybuowania pirackiego oprogramowania. Ma to bezpo艣redni zwi膮zek ze wzrostem cyberprzest臋pczo艣ci, a zw艂aszcza przest臋pczo艣ci internetowej.

Rozk艂ad geograficzny atak贸w internetowych i sond

Pozycja Pa艅stwo Udzia艂 procentowy
1 Stany Zjednoczone 40,60
2 Chiny 17,22
3 Filipiny 4,58
4 Niemcy 4,14
5 Kanada 2,63
6 Finlandia 2,61
7 Wielka Brytania 2,25
8 Japonia 2,14
9 Korea Po艂udniowa 2,09
10 Rosja 1,77
11 Hong Kong 1,63
12 Holandia 1,32
13 Tajlandia 1,22
14 Hiszpania 0,74
15 Meksyk 0,73
16 W艂ochy 0,69
17 Norwegia 0,67
18 Australia 0,66
19 Szwecja 0,62
20 Belgia 0,42
Geograficzny rozk艂ad atak贸w internetowych i sond, stycze艅 - czerwiec 2006

W 2004 roku Stany Zjednoczone by艂y g艂贸wnym 藕r贸d艂em przechwytywanych przez nas atak贸w i sond. Jednak w 2005 roku nast膮pi艂a zmiana: Chiny wyprzedzi艂y dotychczasowego lidera o ponad 6%. W tym roku natomiast sytuacja odwr贸ci艂a si臋: 40,60% atak贸w na ca艂ym 艣wiecie pochodzi艂a ze Stan贸w Zjednoczonych, a 17,22% z Chin. Spadek ten nie wynika艂 ze zmniejszenia si臋 rzeczywistej liczby atak贸w pochodz膮cych z Chin, ale ze znacznego wzrostu liczby atak贸w, kt贸rych 藕r贸d艂em s膮 Stany Zjednoczone.

Korea Po艂udniowa, kt贸ra w zesz艂ym roku znajdowa艂a si臋 na trzeciej pozycji, spad艂a na dziewi膮te miejsce, a jako trzecie uplasowa艂y si臋 Filipiny. R贸wnie偶 Niemcy odnotowa艂y zauwa偶alny wzrost; w por贸wnaniu z zesz艂ym rokiem przechwycili艣my, 艣rednio, trzy razy wi臋cej atak贸w pochodz膮cych z tego pa艅stwa.

Kolejna znaczna zmiana dotyczy艂a Francji, kt贸ra przesun臋艂a si臋 na sz贸st膮 pozycj臋 z czternastego miejsca zajmowanego w zesz艂ym roku. Z kolei Rosja spad艂a z miejsca sz贸stego na dziesi膮te.

Nie trzeba m贸wi膰, 偶e najwi臋ksz膮 zmian膮 by艂 znaczny wzrost liczby atak贸w i sond pochodz膮cych ze Stan贸w Zjednoczonych. By艂 to do艣膰 nieoczekiwany wynik; w okresie obj臋tym poprzednim raportem spadek liczby atak贸w pochodz膮cych ze Stan贸w Zjednoczonych przypisywany by艂 wzrastaj膮cej popularno艣ci rozwi膮za艅 bezpiecze艅stwa, jak r贸wnie偶 surowszym przepisom dotycz膮cym cyberprzest臋pczo艣ci. Zamiana miejsc na szczycie listy dla pierwszej po艂owy 2006 roku nie wygl膮da do艣膰 optymistycznie.

Znacznie wzros艂a r贸wnie偶 liczba atak贸w okre艣lonych z艂o艣liwych program贸w zainicjowanych w Stanach Zjednoczonych. Tabela poni偶ej pokazuje geograficzny rozk艂ad komputer贸w, kt贸re zosta艂y zainfekowane przez warianty Luppera w pierwszej po艂owie 2006 roku.

Pozycja Pa艅stwo Udzia艂 procentowy
1 Stany Zjednoczone 29,71
2 Niemcy 9,97
3 Chiny 7,87
4 Francja 5,83
5 Japonia 4,42
6 Tajwan 4,27
7 Italia 3,99
8 Polska 2,78
9 Hiszpania 2,78
10 Meksyk 2,73
Pa艅stwa o najwi臋kszej liczbie komputer贸w zainfekowanych robakiem Net-Worm.Linux.Lupper.a (i jego wariantami)

W przesz艂o艣ci wi臋kszo艣膰 komputer贸w zainfekowanych robakami sieciowymi zlokalizowanych by艂o w Chinach. Obecnie jednak sytuacja wygl膮da inaczej. Prawie jedna trzecia wszystkich wykrytych infekcji robakiem Lupper zosta艂a zapocz膮tkowana w Stanach Zjednoczonych, co stanowi znaczny odsetek. Polska, Japonia i Niemcy zawsze odnotowywa艂y infekcje Linuksa. Spowodowane jest to popularno艣ci膮 tego systemu operacyjnego w tych pa艅stwach. Na trzecim miejscu znalaz艂y si臋 Chiny (7,87%), jednak przypadki z艂o艣liwych program贸w dla Linuksa s膮 tam stosunkowo rzadkie; wi臋kszo艣膰 atak贸w zwi膮zanych ze z艂o艣liwym oprogramowaniem pochodz膮cych z Chin spowodowanych jest przez robaka Slammer. Wyra藕nie wynika to z tabeli poni偶ej:

Pozycja Pa艅stwo Udzia艂 procentowy
1 Chiny 71,77
2 Stany Zjednoczone 5,47
3 Japonia 4,93
4 Wielka Brytania 1,29
5 Hong Kong 1,15
6 Indie 1,10
7 Tajwan 1,07
8 Brazylia 0,52
9 Szwecja 0,48
10 Francja 0,44
10 pa艅stw o najwi臋kszej liczbie infekcji robakiem Slammer

W por贸wnaniu z poprzednim rokiem najbardziej znamienny jest fakt, 偶e poza ogromnym odsetkiem infekcji robakiem Slammer zlokalizowanych w Chinach (71,77%) , szkodnik ten prawie wymiera w innych regionach 艣wiata.

Wa偶ne 艂aty

Jak pokazuj膮 powy偶sze dane, osi膮gn臋li艣my punkt w ewolucji rozwi膮za艅 bezpiecze艅stwa, w kt贸rym nowsze luki rzadko wykorzystywane s膮 na wi臋ksz膮 skal臋. Pojawi艂o si臋 kilka g艂o艣nych wyj膮tk贸w, jednak w tych przypadkach luki wykorzystywane by艂y przez robaki, kt贸re u偶ywa艂y dziur do rozmna偶ania si臋. Ogromna wi臋kszo艣膰 takich robak贸w zosta艂a stworzona w celu osi膮gni臋cia zysk贸w finansowych.

Mimo to, nie powinni艣my lekcewa偶y膰 znaczenia 艂at bezpiecze艅stwa, kt贸re powinny by膰 instalowane natychmiast po ich opublikowaniu, aby zminimalizowa膰 okres, w czasie kt贸rego komputer pozostaje niechroniony. W ci膮gu trzech ostatnich lat, dzi臋ki inicjatywie Trusted Computing Initiative, Microsoft nie tylko skoncentrowa艂 si臋 na naprawianiu luk z zabezpieczeniu systemu Windows i innych produktach, ale r贸wnie偶 na ich szybszym dostarczaniu. Poniewa偶 lista 10 najcz臋艣ciej wykorzystywanych luk w atakach internetowych nie zawiera 偶adnych luk wykrytych w 2006 roku, mo偶na powiedzie膰, 偶e jest to s艂uszne podej艣cie.

W pierwszej po艂owie 2006 roku zidentyfikowano wiele powa偶nych luk w zabezpieczeniu oprogramowania Microsoftu (s艂owo "powa偶ny" oznacza tutaj luki, kt贸re mog膮 zosta膰 zdalnie wykorzystanie i prowadz膮 do wykonania dowolnego kodu). Do tej pory najcz臋艣ciej wykorzystywane by艂y luki wykryte w r贸偶nych produktach Microsoft Office, takich jak aplikacja Word czy PowerPoint. Pojawi艂y si臋 doniesienia o wyst臋powaniu exploit贸w na te luki na wolno艣ci. Luki te zosta艂y opisane w biuletynie Microsoft Security Bulletin MS06-027 zatytu艂owanym “Vulnerability in Microsoft Word Could Allow Remote Code Execution (917336) oraz w biuletynach Microsoft Security Bulletin MS06-028 i MS06-012.

Zdalnie wykorzystywane luki zosta艂y zidentyfikowane r贸wnie偶 w innych wersjach systemu Windows. Najbardziej krytyczn膮 z nich jest prawdopodobnie luka TCP/IP, opisana w Biuletynie Bezpiecze艅stwa Microsoftu MS06-032. Nale偶y jednak pami臋ta膰, 偶e aby luka ta mog艂a zosta膰 wykorzystana, musi zosta膰 w艂膮czona funkcja IP Source Routing; funkcja ta jest domy艣lnie wy艂膮czona w systemach Windows XP Service Pack 2 i Windows Server 2003 Service Pack 1. Kolejna krytyczna luka zosta艂a opisana w Biuletynie Bezpiecze艅stwa Microsoftu MS06-025 “Vulnerability in Routing and Remote Access Could Allow Remote Code Execution (911280)”. Je艣li zostanie skutecznie wykorzystana, luka ta pozwala zdalnemu szkodliwemu u偶ytkownikowi na przej臋cie ca艂kowitej kontroli nad systemem ofiary.

Aby za艂ata膰 nara偶one systemy, odwied藕 stron臋 http://update.microsoft.com/ przy u偶yciu przegl膮darki Internet Explorer i upewnij si臋, 偶e masz w艂膮czon膮 funkcj臋 automatycznej aktualizacji systemu Windows.

Je艣li chodzi o systemy Linux, liczba wykrytych w nich krytycznych luk w pierwszej po艂owie 2006 roku by艂a niewielka. Pomijaj膮c b艂臋dn膮 konfiguracj臋, niedawne przypadki atak贸w na Linuksa spowodowane by艂y b艂臋dami w r贸偶nych bibliotekach i produktach innych producent贸w, takich jak "sendmail". Powa偶na luka w systemie pocztowym "sendmail" zosta艂a zidentyfikowana w marcu tego roku i opisana w Secunia Security Advisory2. Wszystkie wsp贸艂czesne dystrybucje Linuksa dostarczane s膮 wraz z narz臋dziem automatycznej aktualizacji, takim jak "yum"3, kt贸re mo偶na u偶y膰 do pobrania i zainstalowania najnowszych 艂at bezpiecze艅stwa dla zarejestrowanych pakiet贸w w systemie.

Jak wynika z naszego raportu na ten temat4, MacOS X r贸wnie偶 nie by艂 wolny od luk. Na szcz臋艣cie, MacOS X jest domy艣lnie aktualizowany, u偶ytkownicy musz膮 jedynie dopilnowa膰, 偶eby system operacyjny zosta艂 skonfigurowany, tak aby sprawdza艂 aktualizacje w okre艣lonych odst臋pach czasowych, wybieraj膮c System Preferences -> Software Update -> Check for updates -> Daily. Mo偶na tam tak偶e wybra膰 dodatkowe zabezpieczenie: “Download important updates in the background”.

Wnioski

Analiza danych zebranych w pierwszej po艂owie 2006 roku pozwala na sformu艂owanie dw贸ch wniosk贸w.

Po pierwsze, nast膮pi艂 spory, niespodziewany wzrost liczby atak贸w pochodz膮cych ze Stan贸w Zjednoczonych. Wzrost ten mo偶na przypisa膰 nie tylko zmniejszeniu wydatk贸w na rozwi膮zania bezpiecze艅stwa, ale r贸wnie偶 ewolucji nowych rodzaj贸w atak贸w, kt贸re wykorzystuj膮 luki w takich rozwi膮zaniach. Zauwa偶yli艣my r贸wnie偶, 偶e firmy inwestuj膮 wprawdzie w ochron臋 komputer贸w dzia艂aj膮cych pod kontrol膮 system贸w Windows, ale nie robi膮 tego w stosunku do komputer贸w z systemem Linux. By膰 mo偶e spowodowane jest to fa艂szywym poczuciem bezpiecze艅stwa, kt贸re wydaje si臋 powszechne w przypadku system贸w uniksowych; bez wzgl臋du na przyczyn臋, wygl膮da na to, 偶e administratorzy system贸w zaniedbali aktualizacj臋 system贸w. 艢wiadczy o tym fakt, 偶e w Stanach Zjednoczonych znajdowa艂a si臋 jedna trzecia wszystkich komputer贸w zainfekowanych z艂o艣liwymi programami, kt贸re wykorzystywa艂y wykryte niedawno luki w popularnych bibliotekach i narz臋dziach PHP. Na szcz臋艣cie, wi臋kszo艣膰 z tych komputer贸w zosta艂a za艂atana do tego czasu. Nale偶y jednak pami臋ta膰, 偶e Lupper (i jego warianty) by艂 drugim najbardziej rozpowszechnionych robakiem sieciowym w pierwszej po艂owie 2006 roku.

Po drugie, potwierdzi艂 si臋 trend, kt贸ry zauwa偶yli艣my i o kt贸rym pisali艣my od 2003 roku: ro艣nie liczba przypadk贸w cyberprzest臋pczo艣ci. Z analizy danych przedstawionych w tym raporcie oraz innych danych dotycz膮cych tego okresu jasno wynika, 偶e coraz wi臋cej 艣rodk贸w inwestowanych jest w nielegalne zarabianie pieni臋dzy za po艣rednictwem Internetu: poprzez wysy艂anie spamu, sprzeda偶 pirackiego oprogramowania lub innych kradzionych przedmiot贸w. Obecnie wi臋kszo艣膰 os贸b zamieszanych w tego typu dzia艂alno艣膰 mieszka w Stanach Zjednoczonych, jednak cyberprzest臋pczo艣膰 nie ogranicza si臋 do jednego pa艅stwa, ale stanowi zjawisko globalne.

W poprzednim raporcie przewidywali艣my dalszy wzrost liczby atak贸w zwi膮zanych ze spamem. Potwierdzaj膮 to dane przedstawione w niniejszym artykule. Pojawi艂 si臋 nowy rodzaj atak贸w zwi膮zanych z cyberprzest臋pczo艣ci膮: znajdowanie kont FTP, kt贸re mog膮 zosta膰 wykorzystane do nieodp艂atnego przechowywania z艂o艣liwych program贸w, pirackiego oprogramowania i innych informacji. Ochrona przed takimi atakami sprowadza si臋 zazwyczaj do zainstalowania najnowszych 艂at, skutecznej, dobrze skonfigurowanej zapory przeciwogniowej oraz rozwi膮zania antywirusowego. Oczywi艣cie nale偶y r贸wnie偶 upewni膰 si臋, 偶e wszystkie konta, kt贸re "widoczne" z Internetu, posiadaj膮 odpowiednio mocne has艂a, a dost臋p do nich zawsze uzyskiwany jest poprzez bezpieczne po艂膮czenia (SSL, SSH).

Firma Kaspersky Lab b臋dzie nadal monitorowa艂a sytuacj臋 oraz informowa艂a o najnowszych trendach w tworzeniu z艂o艣liwego oprogramowania, atakach internetowych i cyberprzest臋pczo艣ci. Kontynuacj膮 cyklu artyku艂贸w po艣wi臋conych temu tematowi b臋dzie raport "Ataki internetowe 2006", w kt贸rym przedstawimy dane zgromadzone i zanalizowane na przestrzeni ca艂ego roku.


Bibliografia:

  1. "Ataki internetowe 2005" na stronie www.viruslist.pl
  2. Secunia, http://secunia.com/advisories/19342/
  3. The Yellow Dog Updater, Modified (YUM), http://linux.duke.edu/projects/yum/
  4. "Rozw贸j z艂o艣liwego oprogramowania: luki w MacOS X 2005 - 2006" na stronie www.viruslist.pl

殴r贸d艂o:
Kaspersky Lab
Wi臋cej informacji
Analizy
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Ewolucja z艂o艣liwego oprogramowania
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Z艂o艣liwe oprogramowanie dla platform innych ni偶 Win32
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Z艂o艣liwe programy dla urz膮dze艅 przeno艣nych
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Raport o spamie