Ataki internetowe 2005

Przeczytaj także: Ransomware: 30 lat nieprzerwanych sukcesów

Sonda HTTP GET Generic należała bez wątpienia do najczęstszych incydentów "przechwyconych" w 2005 roku przez komputery tworzące sieć Smallpot. Według firmy Kaspersky Lab, sondy te przeprowadzane są przez automatyczne narzędzie, za pomocą którego spamerzy wyszukują w Internecie otwarte serwery proxy, wykorzystywane następnie do rozsyłania spamu. Sondy te pozwalają również na zebranie informacji o serwerze HTTP, które mogą posłużyć do zlokalizowania w nim luk.

Na początku stycznia 2005 roku pojawił się robak Dipnet, który do maja 2005 roku królował na listach najpopularniejszych szkodników. Po dużej liczbie ataków w styczniu, w maju pojawiła się ogromna fala sond, które próbowały odnaleźć zainfekowane tym robakiem maszyny i przejąć nad nimi kontrolę. Dipnet.a zawiera backdoora, który wykorzystuje port 11768 i pozwala hakerowi na przejęcie pełnej kontroli nad zainfekowanym systemem, który może być następnie wykorzystywany do dalszego rozsyłania złośliwego oprogramowania oraz spamu.

Robak Slammer został wykryty w styczniu 2003 i spowodował wtedy jedną z największych epidemii roku. Rozprzestrzeniając się poprzez port UDP 1434, Slammer zainfekował ogromną liczbę komputerów. Do tej pory, prawie dwa lata po pierwszej epidemii, pozostaje jednym z najpopularniejszych robaków rozprzestrzeniających się poprzez Internet.

Według adresu źródłowego IP w 2005 roku, Slammer nie rozprzestrzenia się już tak szybko. Z drugiej strony zainfekowane komputery w dużej mierze nie są leczone, co oznacza, że Slammer nie zniknie jeszcze przez jakiś czas ze sceny.

Radmin (wersje starsze niż 2.2) jest programem do zdalnej administracji komputerów PC, stosowanym zarówno przez użytkowników domowych, jak i korporacje w celu ułatwienia administratorom instalacji uaktualnień. Ponieważ Radmin jest aplikacją komercyjną, nie wszystkie programy antywirusowe wykrywają go jako złośliwe oprogramowanie. Z tego powodu aplikacja ta często wykorzystywana jest przez hakerów chcących zapewnić sobie dostęp do systemu. Domyślnie Radmin wykorzystuje port TCP 4899. W rezultacie, program ten jest doskonałym narzędziem do łamania haseł metodą brute force, który w 2005 roku stanowił ponad 8% wszystkich sond i ataków internetowych.

Biuletyn bezpieczeństwa Microsoft MS03-007, opublikowany w marcu 2003, opisuje przepełnienie bufora w ntdll.dll, które może zostać wykorzystane poprzez WebDAV, implementację Distributed Authoring and Versioning w IIS. Od momentu opublikowania informacji o luce w Internecie pojawiło się wiele narzędzi hakerskich automatycznie skanujących w poszukiwaniu serwerów, do których można się w ten sposób włamać. W 2005 roku był to najbardziej popularny wśród hakerów wektor ataków.

Miejsce 6 w rankingu 20 najpopularniejszych sond i ataków internetowych w 2005 zajmują sondy Microsoft SQL. Sprawdzają one, czy pod danym adresem IP znajduje się serwer MSSQL. Sondy te wykorzystywane są do określenia różnych parametrów protokołów w celu dobrania odpowiedniego exploita dla zainstalowanej na komputerze wersji MSSQL lub odgadnięcia jednego z haseł administracyjnych dla serwera SQL, poprzedzającego atak brute force. W 2002 roku robak Spida.a wykorzystał tą metodę do wywołania poważnej ogólnoświatowej epidemii, której głównym celem stała się Korea.

Inną usługą będącą częstym celem narzędzi łamiących hasła metodą brute force jest Secure Shell Server (SSH). Większość z tych narzędzi próbuje zalogować się do systemu przy użyciu listy popularnych haseł i nazw użytkowników. Oczywiście nie mogą one posłużyć do przeprowadzenia ataków internetowych na dużą skalę, można natomiast wykorzystać je do zidentyfikowania niewielkiej liczby komputerów, a następnie przeprowadzić z nich bardziej lub mniej anonimowe ataki.

Błąd przepełnienia bufora w Microsoft SQL Server Resolution Service jest znany głównie za sparawą robaka Slammer, który wykorzystał go do rozprzestrzeniania się. W 2005 roku pojawiło się kilka innych złośliwych programów wykorzystujących tę lukę. Poza tym istnieją zautomatyzowane narzędzia hakerskie wykorzystujące ją do wprowadzenia backdoorów do zainfekowanego komputera. Z tego powodu luka ta stała się dość popularna wśród autorów złośliwego oprogramowania i hakerów.

Pierwsze exploity wykorzystujące lukę MS ASN.1 wykryto w czerwcu 2005 roku, w lipcu ich liczba osiągnęła najwyższy poziom. Ich pojawienie się zbiegło się w czasie z pojawieniem się nowych wariantów Rbota wykorzystujących tę lukę. Exploit ten został później zintegrowany z innymi złośliwymi programami, takimi jak Bozori.c.

Jednym z najbardziej rozpowszechnionych robaków wykorzystujących lukę opisaną w MS03-026 jest Lovesan, znany również jako "Blaster". Wykorzystywany przez tego robaka exploit został zaimplementowany w wielu wariantach Rbota oraz niezliczonej ilości innych robaków. Niektóre z nich wywołały duże epidemie w roku 2003 i 2004.

Nowe wersje robaka Bagle, wykrytego po raz pierwszy w styczniu 2004 roku, pojawiały się w niemal w każdym miesiącu. Większość wariantów Bagla ma wbudowanego backdoora, który pozwala na przejęcie kontroli nad zainfekowanymi komputerami (pod warunkiem, że haker zna adres IP komputera). Poza tym, istnieją setki innych robaków, które wyszukują komputery z aktywnym backdoorem Bagla, a następnie infekują je. Metoda ta staje się coraz popularniejsza wśród twórców wirusów.