http://www.viruslist.com/ru/analysis?pubid=179379988
Интернет-атаки 2005 года
Костин Раю
Антивирусный эксперт, <Лаборатория Касперского>
В последние годы компании, занимающиеся информационной безопасностью, отмечают
значительный рост числа осуществляемых через интернет атак на корпоративных и
домашних пользователей. <Лаборатория Касперского>, успев на раннем этапе
заметить эту тенденцию, стала одним из пионеров в области создания и размещения
особых сенсоров для мониторинга по всему пространству интернета.
Начиная с июля 2001 года с помощью технологии Smallpot, разработанной
<Лабораторией Касперского>, собраны буквально миллионы образцов хакерских атак.
На основе этих данных не только можно получить точную статистику
распространения тех или иных видов вредоносного ПО и хакерских атак в
интернете. Они нужны и для того, чтобы обеспечить решениям <Лаборатории
Касперского> самый высокий уровень обнаружения этих угроз и максимальную
скорость реакции на новые и неизвестные угрозы.
Сеть Smallpot состоит из компьютеров, размещенных по всему миру, с большим
числом узлов в Северной Америке, Европе и Азии.
Важно отметить, что значительная часть статистических данных, которые ежедневно
выкладываются в интернете, рассчитывается на основе отчетов, создаваемых
межсетевыми экранами в виде номеров заблокированных портов TCP/IP. Хотя эти
данные дают неплохое представление о возможном числе машин, взломанных тем или
иным вредоносным кодом или используемых хакерами для организации интернет-атак,
они не позволяют точно определить, какие вредоносные программы используются для
этой цели, или различить эксплойты, применяемые хакерами для взлома удаленных
систем через интернет. Настолько подробную информацию можно получить только с
помощью специализированных программ, предназначенных для сбора не только
номеров портов, но и самих данных, пересылаемых в процессе атаки, что и
позволяет делать технология Smallpot. Кроме того, многие отчеты дают информацию
об интернет-атаках, не уделяя большого внимания попыткам добычи и анализа
данных, или <зондирования>. Например, многие атаки на корпоративны!
х пользователей начинаются с использования набора зондов, которые собирают
информацию о сервисах, предоставляемых через интернет серверами компании.
Зондирование само по себе не является вторжением, но обычно за ним следует
эксплойт или набор эксплойтов, направленный на конкретную цель. Таким образом,
зонды можно рассматривать как сигнал, позволяющий своевременно обнаружить атаку
на сервер и оперативно применить соответствующие правила для блокирования
доступа злоумышленников до того, как они смогут использовать добытую
информацию. В настоящей статье речь пойдет не только о самих интернет-атаках,
но и том, какими бывают зонды, используемые для сбора информации
непосредственно перед атакой. Это важно для понимания того, как
эволюционировали приемы и программы, используемые хакерами.
Наконец, необходимо отметить, что при использовании любых статистических данных
обработка ошибок играет, вероятно, наиболее важную роль. Чтобы сделать влияние
ошибок на обработанные данные минимальным, и при этом получить максимально
ясную картину, по всему IP-пространству интернета нужно равномерно распределить
сеть датчиков. Это означает, что необходимо использовать как можно большее
число узлов в как можно большем числе стран. Сеть Smallpot состоит из
компьютеров, размещенных по всему миру, с большим числом узлов в Северной
Америке, Европе и Азии. За годы исследований специалисты <Лаборатории
Касперского> пришли к выводу, что при атаках эти машины обычно первыми
принимают удар на себя. Кроме того, узлы, расположенные в менее густонаселенных
областях IP-пространства, позволяют получать информацию не только о наиболее
распространенных видах атак, но и о локальных эксплойтах, которые, возможно,
представляют интерес для пользователей конкретного региона, но больше нигде в
мир!
е не встречались.
Далее мы обратимся к информации, полученной сетью Smallpot за 2005 год:
* Двадцатка ведущих интернет-зондов и атак
* Десятка ведущих уязвимостей, ставших целью интернет-атак
* Двадцатка портов, наиболее часто использовавшихся в интернет-атаках
* Географическое распределение интернет-атак и зондов
* Важные обновления
* Выводы и тенденции
Двадцатка ведущих интернет-зондов и атак
Рейтинг % от общего числа Тип Название Информ.
бюллетень
1 32,21 зонд HTTP GET Generic -
2 8,03 зонд Radmin -
3 7,88 червь Ditpnet_Probe -
4 7,81 червь Slammer.A MS02-039
5 6,15 зонд Webdav MS03-007
6 4,80 зонд MSSQL -
7 3,43 эксплойт Microsoft SQL Server 2000 Resolution Service
MS02-039
8 2,85 зонд SSH Bruteforce Password Crack -
9 2,73 эксплойт Microsoft ASN.1 MS04-007
10 2,29 эксплойт Buffer Overrun in Microsoft RPC Interface
MS03-026
11 2,03 зонд Get HTTP Proxy Information -
12 1,75 червь Blaster MS03-026
13 1,71 зонд Bagle Backdoor -
14 1,54 эксплойт Dameware_Netmaniak_40 VU#909678
15 1,53 зонд HTTP CONNECT -
16 1,45 червь Dabber -
17 0,39 червь Gaobot via WebDAV exploit MS03-007
18 0,38 эксплойт WINS MS04-045
19 0,31 зонд FTP -
20 0,24 эксплойт UPNP MS01-059
Двадцатка ведущих интернет-зондов и атак за 2005 год.
Зонд <HTTP GET Generic> в 2005 году обнаруживался компьютерами, входящими в
сеть Smallpot, гораздо чаще других. По результатам проведенных <Лабораторией
Касперского> исследований, эта разновидность зонда в большинстве случаев
используется автоматической утилитой, применяемой спамерами для поиска открытых
прокси-серверов в интернете, с целью использования их для последующей рассылки
спама. Другой вариант использования этого зонда - сбор общей информации об
HTTP-сервере с целью найти имеющиеся уязвимости.
Radmin (версий до 2.2) - полнофункциональное программное решение для удаленного
администрирования ПК. Его часто используют домашние пользователи, а также
устанавливают компании, чтобы облегчить системным администраторам выполнение
таких задач, как установка обновлений. Поскольку Radmin - это коммерческая
программа, антивирусные решения не обнаруживают ее в качестве вредоносного
кода, что делает ее отличным вариантом для хакера, желающего обеспечить себе
доступ к взломанной машине. По умолчанию Radmin использует TCP порт 4899, что
делает это приложение прекрасным объектом для взламывания паролей с
использованием метода подбора (brute force), которое составляло более 8% всех
интернет-зондов и атак в 2005 году.
Червь Dipnet появился в начале января 2005 года и возглавлял рейтинги до мая,
когда он начал терять свою <популярность>. Но за многочисленными январскими
атаками в мае последовала огромная волна зондов, задачей которых был поиск
машин, зараженных этим червем, и установление над ними контроля. В состав
Dipnet.a входит бэкдор-компонент, использующий порт 11768, что позволяет
злоумышленнику получить полный контроль над зараженной системой, используя ее в
качестве удобной площадки для распространения другого вредоносного ПО и,
конечно, рассылки спама.
Червь Slammer был впервые обнаружен в интернете в январе 2003 года и вызвал
одну из крупнейших эпидемий года. Пересылая копию своего кода через UDP-порт
1434, Slammer не только заразил множество компьютеров, но сумел по сей день
остаться одним из самых <популярных> червей, распространяющихся через интернет,
несмотря на то, что с момента его появления прошло уже почти 2 года.
Распределение атак Slammer по месяцам в 2005 году выглядит следующим образом:
Месяц % от общего числа
январь 3,51
февраль 3,85
март 1,32
апрель 2,12
май 2,42
июнь 5,37
июль 3,92
август 6,90
сентябрь 6,33
октябрь 4,80
ноябрь 5,00
декабрь 5,28
Распределение атак червя Slammer по месяцам в 2005 году.
Судя по приведенным в таблице данным и по распределению IP-адресов источников
атак Slammer в рамках 2005 года, этот червь уже не распространяется со
сколько-нибудь значительной скоростью, но при этом усилия по удалению его с уже
зараженных компьютеров практически не предпринимаются. Поэтому можно
предположить, что он еще некоторое время останется в зоне нашего внимания.
В информационном бюллетене Microsoft по безопасности MS03-007, выпущенном в
марте 2003 года, описывается переполнение буфера в ntdll.dll, которое можно
использовать через WebDAV - реализацию протокола Distributed Authoring and
Versioning в IIS. С тех пор в интернете появилось много хакерских утилит,
позволяющих полностью автоматизировать сканирование и поиск хостов, которые
могут быть взломаны таким образом. Благодаря этому данный вид атак пользовался
у хакеров в 2005 году наибольшей популярностью.
Шестую позицию в Двадцатке ведущих интернет-зондов и атак за 2005 год,
подготовленной <Лабораторией Касперского>, занимает категория зондов для
Microsoft SQL, проверяющих наличие сервера MSSQL по данному IP-адресу. Их
используют для уточнения различных параметров протокола с целью выбора
эксплойта, подходящего для версии MSSQL, установленной на машине, или перед
атакой с целью подбора одного из паролей администратора для сервера SQL. Червь
Spida.a использовал этот метод в 2002 году для организации своего
распространения и вызвал крупные эпидемии по всему миру, в особенности в Корее.
Ошибка переполнения буфера в Microsoft SQL Server Resolution Service известна
по большей части тем, что ее использует для своего распространения червь
Slammer. В течение 2005 года появилось еще несколько вредоносных программ,
использующих эту уязвимость. Кроме того, существуют автоматические хакерские
утилиты, которые устанавливают бэкдоры на машины с такой уязвимостью. Благодаря
этому она попадает в число <популярных> у авторов вредоносного ПО и хакеров.
Secure Shell Server (SSH) - еще один сервис, в отношении которого часто
используются атаки по подбору паролей. В большинстве случаев совершается
попытка зарегистрироваться в системе, используя список наиболее часто
встречающихся пользовательских имен и паролей. Конечно, такой метод нельзя
использовать для организации полномасштабных интернет-атак, но с его помощью
можно найти небольшое число машин для дальнейшего использования в целях более
или менее анонимного запуска других атак.
Первые эксплойты, рассчитанные на использование уязвимости MS ASN.1, появились
в июне 2005 года, а пик числа сообщений об их обнаружении пришелся на июль. Это
совпало с появлением новой серии разновидностей Rbot, использующих этот
эксплойт. Позже в том же году этот эксплойт был использован и в другом
вредоносном ПО, например, в Bozori.c.
Один из наиболее распространенных червей, использующих уязвимость, описанную в
MS03-026, - это Lovesan, известный также под названием Blaster. В соответствии
с распространенной тенденцией в написании вредоносного ПО, эксплойт,
используемый этим червем, используется и многими разновидностями Rbot и
бесчисленными другими червями, причем некоторые из них вызвали настоящие
эпидемии в 2003 и 2004 годах.
С тех пор как в январе 2004 года червь Bagle был обнаружен впервые, редко
проходит месяц без появления его новых версий. В состав большинства вариантов
Bagle входит бэкдор, позволяющий злоумышленнику управлять машинами, зараженными
этим вредоносным кодом, при условии, что он знает их IP-адреса. Кроме того,
известны сотни других червей, сканирующих и пытающихся заражать машины с
активным бэкдором Bagle. Эта стратегия уже стала тенденцией в написании
вредоносного ПО.
Как и Radmin, Dameware - это пакет утилит, который можно использовать для
удаленного управления компьютером по протоколу TCP/IP. В Dameware Mini Remote
Control Server (версии до 3.73), имеется уязвимость, которую можно использовать
для непосредственного выполнения произвольного кода в содержащей ее системе.
Эта уязвимость впервые обнаружена в декабре 2003 года, и теперь ее
использование уже сходит на нет по мере того, как на все большем числе хостов
обновляется ПО и устанавливаются его последние версии.
Червь Dabber - интересный пример вредоносного кода, заражающего только машины,
уже взломанные с помощью другого червя - в данном случае, Sasser. Еще один
интересный пример действующей таким образом вредоносной программы - червь
Doomjuice, заражавший компьютеры, уже взломанные с помощью популярных червей
Mydoom.a и Mydoom.b. По мере вымирания Sasser, постепенно исчезает и Dabber,
идя за ним следом.
Последний из достойных внимания видов атак, вошедших в двадцатку за 2005 год,
представляет собой эксплойты для WINS, используемые по большей части
разновидностями Rbot и Agobot через порт 42. Наибольшее число эксплойтов для
WINS обнаружено в январе 2005 года, и с тех пор их волна пошла на убыль.
Десятка ведущих уязвимостей, ставших целью интернет-атак
Как видно из рассмотренной выше двадцатки, большинство использованных в
интернет-атаках уязвимостей обнаружены в продуктах Microsoft. В целом, это
старые уязвимости, исправленные достаточно давно. Это показывает, что на
большинстве подключенных к интернету компьютеров ПО не обновляется, а их
владельцы не заинтересованы в том, чтобы своевременно устанавливать последние
исправления и пакеты обновлений от Microsoft.
Такое отсутствие заинтересованности у пользователей создает из уязвимых систем
надежную базу для атак как со стороны вредоносного ПО, так и со стороны
хакеров. В результате постоянно пополняются ряды машин, которые можно взломать
и превратить в зомби для рассылки спама или дальнейшего распространения
вредоносного кода.
Рейтинг Информ. бюллетень Описание
1 MS02-039 Возможность выполнения кода из-за переполнения буфера в
SQL Server 2000 Resolution Service (Q323875)
2 MS03-007 Неограниченный буфер в компоненте Windows может
привести к несанкционированному доступу к веб-серверу (815021)
3 MS03-026 Переполнение буфера RPC может допустить запуск кода
(823980)
4 MS04-007 Уязвимость ASN.1 может допустить запуск кода (828028)
5 VU#909678 Уязвимость переполнения буфера в DameWare Mini Remote
Control
6 MS04-045 Уязвимость в WINS может допустить запуск кода (870763)
7 MS02-061 Повышение привилегий в SQL Server Web Tasks (Q316333)
8 MS05-039 Уязвимость в Plug and Play может допустить удаленный
запуск кода и повышение привилегий (899588)
9 MS01-059 Неограниченный буфер в Universal Plug and Play может
привести к взлому системы
10 - AWStats Rawlog Plugin Logfile Parameter Input Validation
Vulnerability
Десятка ведущих уязвимостей, ставших целью интернет-атак в 2005 году.
Из всех уязвимостей, вошедших в десятку, лишь одна была обнаружена в 2005 году.
Это уязвимость UPnP (MS05-039).
Уязвимость MS05-039 была обнаружена в августе 2005 года и впервые была
использована в качестве способа распространения червя Bozori.a. Позднее она
была использована и в других червях, в частности Mytob.cf и Lebreat.m.
Таким образом, можно заключить, что в 2005 году, в то время как в разных
версиях Windows было найдено весьма незначительное количество (по сравнению с
предыдущими годами) новых критических уязвимостей, еще осталось большое число
подключенных к интернету машин, уязвимых для старых видов атак. Такие машины
представляют собой находящийся <в боевой готовности> объект для приложения сил
вирусописателей, который в дальнейшем может быть использован для быстрого
распространения нового вредоносного ПО и троянских программ.
Двадцатка портов, наиболее часто использовавшихся в интернет-атаках
Рейтинг % от общего числа Порт
1 26,14 445
2 18,75 80
3 15,65 135
4 12,71 1026 (UDP)
5 5,13 1433
6 4,23 1434 (UDP)
7 4,19 1027 (UDP)
8 2,68 4899
9 2,57 15118
10 1,03 5554
11 0,98 22
12 0,87 1025 (UDP)
13 0,71 4444
14 0,61 3128
15 0,59 2745
16 0,53 6129
17 0,33 42
18 0,31 21
19 0,17 139
20 0,12 3127
20 портов, наиболее часто использовавшихся в интернет-атаках в 2005 году.
По нашим наблюдениям, многие атаки на компьютер или группу компьютеров через
интернет начинаются со сканирования портов: все открытые порты при этом
регистрируются в журнале и помечаются для дальнейшего изучения. Кроме того,
многие черви ищут потенциально уязвимые машины, сканируя адресное пространство
подсетей класса B или C в попытке открыть соединения с различными портами
прежде, чем начать использовать конкретную уязвимость.
В 2005 году наиболее активно сканировался порт 445/TCP, используемый в Windows
2000 и ее разновидностях протоколом SMB (совместное использование файлов и
принтеров) поверх TCP. В предыдущих версиях Windows для этой же цели
использовались порты 135 и 139, но начиная с Windows 2000 Microsoft перешел к
использованию порта 445, когда он свободен. По соображениям обеспечения
совместимости, если сервер SMB не найден на порте 445, вместо этого порта
используются более старые порты 135 и 139. Из уязвимостей, входящих в десятку
наиболее активно используемых в интернет-атаках, следующие могут быть
использованы через порт 445: MS03-026, MS04-007 (ASN.1) и недавно обнаруженная
MS05-039 (UPnP).
Порт 80, используемый для передачи данных по протоколу HTTP, стоит на втором
месте. Его высокое положение в рейтинге объясняется большим количеством попыток
сканирования в поисках открытых прокси-серверов, а также существованием
большого числа эксплойтов, реализуемых через HTTP. Из десятки ведущих
уязвимостей, используемых в интернет-атаках, эксплойт уязвимости AWStats Rawlog
Plugin Logfile Parameter Input Validation Vulnerability может использовать порт
80.
Port 135, который используется Microsoft в DCOM Service Control Manager, - это
еще одна популярная мишень для хакеров и червей. Чаще всего он используется
эксплойтами для уязвимости MS03-026. Многие последние варианты (если не
большинство) Rbot и Agobot используют для своего распространения порт 135. То
же можно сказать и про все еще популярный червь Lovesan / Blaster.
UDP-порты 1025, 1026 и 1027 используются спамерами для рассылки рекламы на
службу Windows Messenger Service, которая <слушает> эти порты. Служба Messenger
может работать и через порт 135, но многие интернет-провайдеры стали
блокировать его после эпидемии червя Blaster, в то время как другие порты
остались открытыми для атак.
UDP-порты 1433 и 1434 используются Microsoft SQL Server. Как черви, так и
хакеры пользуются этими портами для доставки разнообразных эксплойтов,
предназначенных для этого продукта. Порт UDP 1434 используется для атак на
MS02-039, наиболее активно используемую в 2005 году уязвимость - прежде всего
червем Slammer.
Порт Radmin 4899 - еще одна популярная мишень для хакеров, как это видно из
таблицы <Двадцатка ведущих интернет-зондов и атак>, где Radmin занимает
четвертую позицию. Этот порт используют в качестве мишени и другие черви, такие
как Rahak.a и некоторые разновидности Agobot.
Большое число зондов, ориентированных на порт 15118, можно объяснить тем, что
червь DipNet.e и его разновидности используют его при поиске уже зараженных
хостов. Поскольку DipNet открывает на этом порте бэкдор, этот порт является
также мишенью для сканеров, используемых спамерами при поиске машин, которые
можно использовать для распространения другого вредоносного ПО и/или рекламных
рассылок. (Интересно, что порт 11768, используемый предыдущими вариантами
Dipnet, не попал в двадцатку этого года.) Аналогично, порт 2745 используется
бэкдором Bagle, а порт 3127 бэкдором Mydoom.
Традиционно считалось, что порт 5554 используется веб-серверами SGI Embedded
Support Partner, но значительный объем трафика, перехваченного на этом порте в
2005 году, связан с использованием его червем Sasser для организации
FTP-сервера. Червь Dabber, появившийся в мае 2004 года, использует эксплойт для
FTP-сервера, организованного червем Sasser на порте 5554, чем в основном и
объясняется трафик, наблюдаемый на этом порте.
Порт 4444 - не что иное, как оболочка командной строки Blaster, используемая
при репликации этого червя, но он же является и мишенью/целью для сканеров
портов, ищущих системы с готовыми к употреблению бэкдорами.
Порт 3128 традиционно используется прокси-серверами, из-за чего он стал мишенью
для спамеров, ищущих машины, могущие быть использованными в качестве шлюзов для
распространения рекламы. Несколько из известных червей также запрограммированы
на использование прокси-сервера на этом порте.
Последние места в двадцатке заняты портами 6129 (Dameware), 42 (WINS), 21 (FTP)
- в соответствии с объемом трафика, вызываемого причинами, описанными выше в
разделе о двадцатке ведущих интернет-зондов и атак за 2005 год.
Географическое распределение интернет-атак и зондов
Рейтинг % от общего числа Страна
1 27,38 Китай
2 21,16 США
3 6,03 Южная Корея
4 2,82 Канада
5 2,04 Гонконг
6 2,00 Россия
7 1,88 Испания
8 1,77 Филиппины
9 1,72 Япония
10 1,63 Тайвань
11 1,25 Германия
12 1,25 Нидерланды
13 1,13 Великобритания
14 0,72 Франция
15 0,41 Италия
16 0,39 Бразилия
17 0,31 Швеция
18 0,29 Индия
19 0,25 Польша
20 0,22 Уругвай
Географическое распределение интернет-атак и зондов.
В этом году Китай стал ведущим источником интернет-атак и зондов, обойдя США,
которым раньше принадлежала эта сомнительная честь. Это связано с ростом
доступности интернета, которым, в соответствии с всемирным справочником ЦРУ, на
конец 2004 года в Китае было охвачено 94 миллиона пользователей, а также с
ростом популярности решений информационной безопасности в Соединенных Штатах и
ужесточением законодательства, относящегося к киберпреступлениям. Стоит также
заметить, что на долю первых трех позиций этого рейтинга приходится более 50%
атак и зондов по всему миру.
Интересно, что на долю Китая приходится 57% компьютеров, зараженных Slammer, в
то время как доля Кореи, ранее лидировавшей на этом направлении, снизилась
менее чем до 1%. Это показывает разницу в уровне интереса к вопросам
безопасности в двух странах.
Также имеет смысл рассмотреть удельное число атак на душу населения во всех
перечисленных странах. В результате в рейтинге произойдут существенные
изменения:
Рейтинг Страна
1 Гонконг
2 Южная Корея
3 Канада
4 Нидерланды
5 США
6 Тайвань
7 Уругвай
8 Испания
9 Швеция
10 Китай
11 Филиппины
12 Великобритания
13 Германия
14 Япония
15 Россия
16 Франция
17 Италия
18 Польша
19 Бразилия
20 Индия
Распределение 20 ведущих атак и интернет-зондов по странам в расчете на душу
населения.
Гонконг и Южная Корея, страны с относительно небольшим населением и очень
высоким охватом населения интернетом, возглавляют рейтинг; следом за ними идут
Канада, Нидерланды и США. Китай оказался на 10-м месте, но лишь благодаря
своему огромному населению.
Возможно, еще больше имеет смысл рассмотреть число атак в пропорции к общему
числу абонентов, подключенных к интернету в странах первой двадцатки:
Рейтинг Страна
1 Гонконг
2 Уругвай
3 Филиппины
4 Россия
5 Китай
6 Южная Корея
7 Испания
8 Канада
9 Нидерланды
10 США
11 Тайвань
12 Швеция
13 Великобритания
14 Франция
15 Германия
16 Япония
17 Польша
18 Бразилия
19 Италия
20 Индия
Распределение 20 ведущих атак и интернет-зондов по странам в пропорции к охвату
населения интернетом.
Приведенный выше рейтинг показывает распределение атак исходя из охвата каждой
из стран интернетом. Здесь Гонконг также на первом месте, а Корея недалеко от
верхней строки - она на шестом месте в мире по уровню заражения. Россия в этом
рейтинге занимает четвертую позицию.
Когда речь заходит о вредоносном ПО, репликация которого происходит на уровне
сети, ситуация в абсолютном выражении выглядит следующим образом:
Рейтинг % от общего числа Страна
1 38,31 Китай
2 21,99 США
3 3,09 Япония
4 2,70 Южная Корея
5 1,40 Гонконг
6 1,36 Тайвань
7 1,17 Индия
8 1,14 Германия
9 0,98 Нидерланды
10 0,90 Великобритания
Распределение машин, зараженных вредоносным ПО, репликация которого происходит
на уровне сети.
Снова на долю Китая и США приходится самое большое в мире число заражений, а
Япония здесь оказывается на третьем месте. Еще один интересный пример - Индия,
занявшая 7-е место. По сравнению с прошлым годом, число зараженных машин
выросло как в Японии, так и в Индии.
Важные обновления
В этом году обнаружено несколько критических уязвимостей в продуктах Microsoft,
из которых только одна (MS05-039) в некоторой степени оказалась использована
киберпреступниками. В число других уязвимостей, пока не использованных в
сколько-нибудь больших масштабах червями и хакерами, входят MS05-051 (ее
эксплуатирует Dasher.b, не нанося при этом значительного вреда), MS05-043
(уязвимость в сервисе Print Spooler), MS05-021 (уязвимость Exchange Server),
MS05-019 (уязвимость в реализации TCP/IP в Windows), MS05-011 (уязвимость в
SMB) и MS05-010 (уязвимость в сервисе License Logging). <Лаборатория
Касперского> рекомендует всем пользователям установить обновления, доступные
через Windows Update по обычному адресу.
В то же время, из новых критических уязвимостей, затрагивающих системы Unix,
XML-RPC for PHP PHP Code Execution Vulnerability, возможно, самая важная.
Поскольку компонент XML-RPC используется во многих популярных веб-приложениях,
например, b2evolution, WordPress и TikiWiki, такие черви, как Lupper,
пытающиеся пользоваться этой уязвимостью, стали преобладать в своей категории.
Уязвимость AWStats "configdir" Parameter Arbitrary Command Execution
Vulnerability также оказалась популярной мишенью для атак на Unix-машины.
Из более старых уязвимостей, эксплуатируемых на Unix-системах, упомянем AWStats
Rawlog Plugin Logfile Parameter Input Validation Vulnerability, которую
использует червь Lupper и его вариации.
Исправления этих уязвимостей можно загрузить со следующих сайтов:
* sourceforge.net/project/showfiles.php?group_id=34455 (для уязвимости
<XML-RPC>, в настоящее время выпущена версия 1.2.1)
* awstats.sourceforge.net/#DOWNLOAD (для уязвимостей AWStats, в настоящее
время выпущена версия 6.5)
Кроме упомянутых выше уязвимостей, злоумышленники использовали для получения
доступа к Unix-машинам прежде всего ошибки конфигурации и более старые
эксплойты.
Выводы и тенденции
Изучение статистических данных за 2005 год позволяет проследить несколько
тенденций. Прежде всего, мы отметили появление в интернете двух важных видов
мишеней. Первая - машины с давно не обновлявшимся ПО, уязвимые не только для
новых, но и для многих старых эксплойтов. Очевидно, что владельцы этих машин не
устанавливают <заплаты> и пакеты обновлений, создавая всегда <готовую к
заражению> массу серверов в интернете.
Во вторую категорию входят компьютеры, владельцы которых быстро обновляют
уязвимое ПО, благодаря чему число успешных атак, использующих совсем новые
уязвимости, было существенно меньше, чем в предыдущие годы. Это показывает, что
недавняя кампания по освещению вопросов безопасности приносит заметные плоды,
прежде всего в США. При этом в таких странах, как Китай, где соображения
безопасности практически полностью игнорируются, сосредоточено большинство
машин с более старыми и уязвимыми версиями операционных систем и программ.
Еще одно важное наблюдение состоит в огромном росте числа атак, связанных с
деятельностью спамеров, или атак, используемых злоумышленниками для
распространения вредоносного ПО, предназначенного для рассылки спама или
получения финансовой выгоды. Кроме того, большинство новых сетевых червей,
распространяющихся через интернет, содержат бэкдор-компоненты, которые спамеры
начинают использовать, как только соответствующие черви становятся популярными.
Число зондов, предназначенных для поиска открытых прокси-серверов, также весьма
значительно увеличилось по аналогичным причинам.
Флэш-черви, представлявшие серьезную проблему два года назад, больше не
попадают в верхние строки рейтингов. Их место заняло вредоносное ПО, написанное
с целью получения финансовой выгоды, что отражает появление нового феномена, о
котором мы уже сообщали общественности, - так называемых <бизнес-червей>.
Наконец, мы ожидаем дальнейший рост числа атак, связанных со спамерской
деятельностью, а также рост числа червей и ботов, каждый из которых
эксплуатирует не одну или две, а большое число уязвимостей, причем как новых,
так и старых. В то же время, <Лаборатория Касперского> будет внимательно
следить за ситуацией в Китае, где наличие большого числа уязвимых машин
оказывает большое влияние на ситуацию во всем мире.
Источники:
Лаборатория Касперского