Internet-Attacken im Fadenkreuz

In den letzten Jahren bemerken IT-Sicherheitsfirmen eine starke Zunahme der Internet-Attacken auf Unternehmen und Heimanwender. Kaspersky Lab hat diese Tendenz bereits sehr früh festgestellt und gehört zu den Pionieren in der Entwicklung spezieller Sensoren für das Monitoring des gesamten Internets.

Ab Juli 2001 wurden mit Smallpot, einer von Kaspersky Lab entwickelten Technologie, buchstäblich Millionen Muster von Hackerattacken gesammelt. Auf Grundlage dieser Daten erhalten wir nicht nur eine genaue Statistik über die Verbreitung verschiedener Schadprogramme und Hackerattacken, sondern können auch unsere Programme weiter verbessern und eine maximale Reaktionsgeschwindigkeit auf neue und noch unbekannte Bedrohungen ermöglichen.

Ein großer Teil der statistischen Daten, die täglich im Internet erscheinen, wurde auf Grundlage der von Firewalls blockierten TCP/IP-Ports erstellt. Obwohl diese Daten keine schlechte Vorstellung über die mögliche Zahl von infizierten oder durch Hacker für Internet-Attacken missbrauchten Rechner geben, erkennt man damit nicht, welche Schadprogramme verwendet oder welche Exploits zum Knacken von Remote-Systemen genutzt werden. Solch umfangreiche Informationen können nur durch spezielle Programme gesammelt werden, die nicht nur Port-Nummern registrieren, sondern auch alle Daten, die während der Attacke übermittelt werden. Dies wird durch die Smallpot-Technologie ermöglicht.

Viele Antiviren-Programme liefern zwar Informationen über Internet-Attacken, schenken aber deren Analyse nur wenig Aufmerksamkeit. Den meisten Angriffen auf Unternehmen gehen so genannte Portscans durch Sonden voraus, die Daten über die auf dem Firmen-Server genutzten und angebotenen Services sammeln. Diese Sondierung ist noch kein Eindringen, doch meist folgt ein Exploit, der auf ein konkretes Ziel ausgerichtet ist. Also kann man die Sonden als Signal betrachten, durch das eine Attacke auf den Server rechtzeitig erkannt und schnell Gegenmaßnahmen ergriffen werden können.

Daher wollen wir uns in diesem Artikel nicht nur die Internet-Attacken selbst, sondern auch die verschiedenen Sonden genauer ansehen. Damit wird auch die Entwicklung der Hacker-Tools und ihre Vorgehensweise klarer.

Wichtig ist natürlich auch die Fehlerbearbeitung der statistischen Daten: Um den Einfluss von Fehlern zu minimieren und ein realistisches Bild zu erhalten, muss im gesamten IP-Umfeld des Internet ein gleichmäßiges Netz von Sensoren verteilt werden. Das bedeutet, dass möglichst viele Knoten in möglichst vielen Ländern verwendet werden sollten. Unser Smallpot-Netz besteht aus Computern, die auf der ganzen Welt positioniert sind, mit einer großen Anzahl von Knoten in Nordamerika, Europa und Asien. In den vielen Jahren der Forschung haben die Spezialisten von Kaspersky Lab bemerkt, dass diese Maschinen den ersten Schlag von Attacken meist abfangen. Außerdem ermöglichen Knoten, die in weniger dicht bewohnten Gebieten liegen, den Empfang von Informationen über lokale Exploits, die nicht weiter in der virtuellen Welt verbreitet wurden.

Die 20 meistgenutzten Internet-Sonden und -Attacken 2005

Rating Prozentualer Anteil an der Gesamtmenge Typ Name Info-Bulletin
1 32,21 Sonde HTTP GET Generic
2 8,03 Sonde Radmin
3 7,88 Wurm Ditpnet_Probe
4 7,81 Wurm Slammer.A MS02-039
5 6,15 Sonde Webdav MS03-007
6 4,80 Sonde MSSQL
7 3,43 Exploit Microsoft SQL Server 2000 Resolution Service MS02-039
8 2,85 Sonde SSH Bruteforce Password Crack
9 2,73 Exploit Microsoft ASN.1 MS04-007
10 2,29 Exploit Buffer Overrun in Microsoft RPC Interface MS03-026
11 2,03 Sonde Get HTTP Proxy Information
12 1,75 Wurm Blaster MS03-026
13 1,71 Sonde Bagle Backdoor
14 1,54 Exploit Dameware_Netmaniak_40 VU#909678
15 1,53 Sonde HTTP CONNECT
16 1,45 Wurm Dabber
17 0,39 Wurm Agaobot via WebDAV exploit MS03-007
18 0,38 Exploit WINS MS04-045
19 0,31 Sonde FTP
20 0,24 Exploit UPNP MS01-059

Die 20 meistgenutzten Internet-Sonden und -Attacken 2005

Die Sonde HTTP GET Generic wurde von Computern des Smallpot-Netzes am häufigsten entdeckt. Nach unseren Ergebnissen wird sie in den meisten Fällen als automatische Sonde verwendet, die nach offenen Proxy-Servern sucht, die für den Spam-Versand genutzt werden können. Aber auch allgemeine Daten über HTTP-Server können damit gesammelt werden, um Sicherheitslücken zu entdecken.

Radmin (Versionen bis 2.2) — ist ein Programm für die Remote-Administration eines PCs. Heimanwender und Unternehmen nutzen sie, um etwa die Installation von Updates zu erleichtern. Da Radmin ein kommerzielles Programm ist, registrieren es die Antivirus-Lösungen nicht als Schadcode – eine ausgezeichnete Möglichkeit für Hacker, sich Zugang zu einem Computer zu verschaffen. Normalerweise verwendet Radmin TCP-Port 4899. Dadurch wird die Anwendung zu einem wunderbaren Mittel für Hacker, Passwörter zu knacken. Eingesetzt wird dabei die Bruteforce-Methode, die mehr als acht Prozent aller Internet-Sonden und -Attacken im vergangenen Jahr ausmachte.

Der Wurm Dipnet erschien Anfang Januar 2005 und führte die Viren-Top-Ten bis Mai an, verlor dann allerdings an ‚Popularität“. Doch den zahlreichen Januar-Attacken folgte im Mai eine gewaltige Sonden-Welle, bei der nach Rechnern gesucht wurde, die durch diesen Wurm infiziert waren, um deren Kontrolle zu übernehmen. In Dipnet.A ist eine Backdoor-Komponente enthalten, die Port 11768 verwendet und dem Übeltäter die volle Kontrolle über das infizierte System ermöglicht. Er kann es dann für die Verbreitung weiterer Schadprogramme und natürlich für den Spam-Versand nutzen.

Der Wurm Slammer wurde bereits im Januar 2003 entdeckt. Damals verursachte er eine der größten Epidemien des Jahres. Da er seine Kopien über UDP-Port 1434 verschickt, infizierte Slammer nicht nur eine Menge Computer, sondern zählt bis heute zu einem der populärsten Würmer, die sich über das Internet verbreiteten – ungeachtet der Tatsache, dass seit seinem ersten Erscheinen schon zwei Jahre vergangen sind. Im Jahr 2005 verteilten sich die Slammer-Attacken folgendermaßen:

Monat Prozentualer Anteil an den gesamten Attacken
Januar 3,51
Februar 3,85
März 1,32
April 2,12
Mai 2,42
Juni 5,37
Juli 3,92
August 6,90
September 6,33
Oktober 4,80
November 5,00
Dezember 5,28

Die Verteilung der Slammer-Attacken in 2005

Man sieht, dass sich der Wurm nicht mehr so schnell ausbreitet. Dennoch werden infizierte Computer kaum davon befreit, so dass uns Slammer noch einige Zeit beschäftigen wird.

Im Sicherheits-Informations-Bulletin von Microsoft MS03-007, erschienen im März 2003, wird der Buffer-Overflow in ntdll.dll beschrieben, den man über WebDAV verwenden kann. Seitdem erschienen im Internet zahlreiche Hacker-Utilities, die selbständig nach Hosts suchen, die auf diese Weise gehackt werden könnten. Das machte diese Attacken-Art unter den Hackern im letzten Jahr sehr beliebt.

Den sechsten Platz belegt die Sondenkategorie für MSSQL: Diese Sonden überprüfen, ob ein Microsoft-SQL-Server unter einer IP-Adresse vorhanden ist. Gleichzeitig definieren sie verschiedene Protokoll-Parameter, so dass ein passender Exploit für die installierte SQL-Version ausgewählt oder Passwörter gestohlen werden können. Der Wurm Spida.A verwendete diese Methode im Jahr 2002 für seine Verbreitung und entfachte eine weltweite Epidemie.

Der Buffer-Overflow-Fehler im Microsoft SQL Server Resolution Service wurde vor allem durch die Verbreitung von Slammer bekannt. Doch im letzten Jahr erschienen einige weitere Schadprogramme, die diese Lücke nutzten. Zudem gibt es automatische Hacker-Utilities, die Backdoors auf Maschinen mit dieser Sicherheitslücke installieren. Dadurch zählt diese Sicherheitslücke unter den Viren-Autoren und Hackern zu einer der beliebtesten.

Kommen wir zu Platz acht: Secure Shell Server (SSH) – noch ein Service, der häufig für Attacken genutzt wird, bei denen Passwörter gestohlen werden sollen. In den meisten Fällen wird versucht, sich im System anzumelden. Dabei wird eine Liste der meist verwendeten Anwender-Namen und -Passwörter verwendet. Diese Methode kann natürlich nicht für groß angelegte Internet-Angriffe verwendet werden, aber mit ihrer Hilfe kann man eine kleine Anzahl Computer finden, um sie für den mehr oder weniger anonymen Start anderer Attacken zu verwenden.

Die ersten Exploits, die die Sicherheitslücke MS ASN.1 ausnutzten, erschienen im Juni 2005, ihren Höhepunkt erreichten sie im Juli, als immer mehr über diese Lücke berichtet wurde. Dies fiel genau mit dem Erscheinen einer neuen Rbot-Modifikation zusammen, die dieses Exploit Rbot, ausnutzte. Später wurde dieser Exploit auch von anderen Schadprogrammen ausgenutzt, etwa von Bozori.C..

Einer der meist verbreiteten Würmer, der die Sicherheitslücke MS03-026 ausnutzte, ist Lovesan, auch bekannt unter dem Namen Blaster. Wie meist üblich, wird der Exploit, den dieser Wurm nutzt, auch von anderen Würmern verwendet, etwa von Rbot-Modifikationen. Einige von diesen Würmern lösten in den Jahren 2003 und 2004 sogar große Epidemien aus.

Seit im Januar 2004 der Wurm Bagle entdeckt wurde, vergeht kaum ein Monat ohne eine neue Modifikation. Die meisten Varianten enthalten ein Backdoor, das Hackern Zugang zu infizierten Computern ermöglicht – allerdings nur, wenn der Hacker deren IP-Adresse kennt. Außerdem sind hunderte weitere Würmer bekannt, die Computer mit bereits aktiven Bagle-Backdoors suchen und diese infizieren. Diese Methode nutzen Viren-Autoren mittlerweile immer häufiger.

Wie auch Radmin, ist Dameware ein Utility-Paket, das für die Remote-Steuerung von Computern über TCP/IP verwendet werden kann. In Dameware Mini Remote Control Server (Versionen vor 3.73) gibt es eine Sicherheitslücke, über die Schadcode auf einem ungeschützten System ausgeführt werden kann. Diese Lücke wurde im Dezember 2003 entdeckt, mittlerweile wird sie aber kaum mehr genutzt, da auf den meisten Hosts aktuellere Dameware-Versionen installiert sind.

Der Wurm Dabber ist ein interessanter Virus, der nur Maschinen infiziert, die zuvor durch einen anderen Wurm geknackt wurden – in diesem Fall durch Sasser. Da Sasser allmählich ausstirbt, verschwindet auch Dabber langsam. Ähnlich arbeitet auch Doomjuice, der Computer infiziert, die bereits durch die bekannten MyDoom.a und MyDoom.b geknackt wurden.

Eine letzte Attacken-Art, die unsere Aufmerksamkeit verdient, sind die Exploits für WINS, die vor allem von den Rbot– und Agobot-Modifikationen über Port 42 ausgenutzt wurden. Die meisten Exploits für WINS wurden im Januar 2005 entdeckt, seitdem nimmt ihre Zahl jedoch ab.

Die 10 meistgenutzten Sicherheitslücken

Wie aus der oben betrachteten Liste ersichtlich, wurde die Mehrheit der für Internet-Attacken verwendeten Sicherheitslücken in Microsoft-Produkten aufgefunden – allerdings sind die meisten davon längst gepatcht. Das beweist, dass auf der Mehrheit der ans Internet angeschlossen PCs die Programme nicht aktualisiert werden und ihre Besitzer nicht daran interessiert sind, rechtzeitig die letzten Patches und Updates von Microsoft zu installieren.

Dieses Desinteresse der Anwender führt dazu, dass aus den angreifbaren Systemen eine zuverlässige Basis für Attacken durch Schadprogramme und Hacker wird. Die Zahl der Maschinen, die geknackt und in einen Zombie für den Spam-Versand oder die Verbreitung von Schadcode verwandelt werden können, nimmt immer weiter zu.

Rating Information
Bulletin
Beschreibung
1 MS02-039 Möglichkeit der Ausführung von Code aufgrund eines Buffer-Overflow im SQL Server 2000 Resolution Service (Q323875)
2 MS03-007 Unbegrenzter Pufferspeicher in einer Windows-Komponente kann zu unrechtmäßigem Zugang auf den Web-Server führen (815021)
3 MS03-026 Buffer-Overflow in RPC kann die Ausführung von Code zulassen (823980)
4 MS04-007 Sicherheitslücke ASN.1 kann die Ausführung von Code zulassen (828028)
5 VU#909678 Sicherheitslücke: Buffer-Overflow in DameWare Mini Remote Control
6 MS04-045 Sicherheitslücke in WINS kann die Ausführung von Code zulassen (870763)
7 MS02-061 Erweiterung der Privilegien in SQL Server Web Tasks (Q316333)
8 MS05-039 Sicherheitslücke in Plug and Play kann den Remote-Start von Code und die Erweiterung der Privilegien zulassen (899588)
9 MS01-059 Unbegrenzter Puffer in Universal Plug and Play kann zum Knacken des Systems führen
10 AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability

Die 10 meistgenutzten Sicherheitslücken in 2005

Von all diesen Sicherheitslücken wurde nur eine im letzten Jahr entdeckt: Die Sicherheitslücke UPnP, gemeldet in (MS05-039).

Aufgespürt im August 2005, wurde sie zunächst für die Verbreitung des Wurms Bozori.a verwendet. Später bedienten sich auch andere Würmer dieser Lücke, etwa Mytob.cf und Lebreat.m.

Wir können daraus folgern, dass noch eine große Zahl ans Internet angeschlossener Computer existiert, die durch die bekannten Attacken angreifbar sind und als Ziele für Viren-Programmierer und Hacker bereitstehen.

Die 20 Ports, die am häufigsten für Internet-Attacken genutzt wurden

Rating Prozentualer Anteil an den gesamten Attacken Port
1 26,14 445
2 18,75 80
3 15,65 135
4 12,71 1026 (UDP)
5 5,13 1433
6 4,23 1434 (UDP)
7 4,19 1027 (UDP)
8 2,68 4899
9 2,57 15118
10 1,03 5554
11 0,98 22
12 0,87 1025 (UDP)
13 0,71 4444
14 0,61 3128
15 0,59 2745
16 0,53 6129
17 0,33 42
18 0,31 21
19 0,17 139
20 0,12 3127

Die 20 Ports, die am häufigsten für Internet-Attacken genutzt wurden

Unseren Beobachtungen zufolge beginnen viele Internet-Attacken auf Computer oder Computer-Gruppen mit dem Scan der Ports: Alle offenen Ports werden dabei in einem Protokoll registriert und für die weitere Erforschung gekennzeichnet. Zudem suchen viele Würmer potentiell angreifbare Maschinen, indem sie die Adressen der Unternetze der Klassen B oder C beim Versuch, eine Verbindung mit verschiedenen Ports zu öffnen, scannen – und das, bevor sie die konkrete Sicherheitslücke nutzen.

Am aktivsten wurde im letzten Jahr Port 445/TCP gescannt, der in Windows 2000 und Modifikationen des Protokolls SMB verwendet wird (gemeinsame Verwendung der Dateien und Drucker). In den Vorgänger-Versionen von Windows wurden dafür die Ports 135 und 139 verwendet, mit Windows 2000 wechselte Microsoft allerdings auf Port 445. Aus Gründen der Kompatibilität werden, wenn der SMB-Server nicht auf Port 445 gefunden werden kann, trotzdem die älteren Ports 135 und 139 verwendet. Von den Sicherheitslücken, die zu den 10 am häufigsten verwendeten Internet-Attacken zählen, können die folgenden über Port 445 verwendet werden: MS03-026, MS04-007 (ASN.1) und die kürzlich entdeckte MS05-039 (UPnP).

Port 80, der für die Übermittlung von Daten über das HTTP-Protokoll genutzt wird, belegt Platz 2. Dieser vordere Platz kann mit der verstärkten Suche nach offenen Proxy-Servern erklärt werden – und auch mit der Existenz einer großen Anzahl Exploits, die über HTTP realisierbar sind. Von den 10 führenden Sicherheitslücken verwendet das Exploit der Sicherheitslücke AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability den Port 80.

Port 135, der von Microsoft im DCOM Service Control Manager genutzt wird, ist eine weitere bekannte Zielscheibe für Hacker und Würmer. Meistens wird er von Exploits für die Sicherheitslücke MS03-026 verwendet. Viele der letzten Modifikationen (wenn nicht gar die Mehrheit) von Rbot und Agobot nutzen für ihre Verbreitung Port 135. Dasselbe gilt für den bekannten Wurm Lovesan/Blaster.

Die UDP-Ports 1025, 1026 und 1027 werden von Spammern für den Versand von Werbung auf den Windows Messenger Service verwendet, der diese Ports abhört. Der Service Messenger kann auch über Port 135 arbeiten, aber viele Internet-Provider blockieren ihn seit der Blaster-Epidemie. Gleichzeitig blieben allerdings andere Ports weiterhin für Attacken geöffnet.

Die UDP-Ports 1433 und 1434 werden von Microsofts SQL-Servern verwendet. Würmer und Hacker nutzen diese Ports für die Zustellung verschiedener Exploits dieses Produkts. Port UDP 1434 wird für Attacken auf MS02-039 verwendet, die im Jahr 2005 am häufigsten verwendete Sicherheitslücke – vor allem von Slammer.

Port Radmin 4899 ist eine weitere Zielscheibe für Hacker, wie man auch schon in der Tabelle der wichtigsten Internet-Sonden und -Attacken sieht, in der Radmin den vierten Platz belegt. Dieser Port wird von verschiedenen Würmern als Zielscheibe verwendet, unter anderem von Rahak.a und einigen Agobot-Modifikationen.

Die große Zahl Sonden, die auf Port 15118 ausgerichtet sind, kann man damit erklären, dass der Wurm DipNet.e und seine Modifikationen ihn für die Suche schon infizierter Hosts verwenden. Da DipNet auf diesem Port ein Backdoor öffnet, ist dieser Port zugleich Zielscheibe für Scanner, die nach ungeschützten Computern für die Verbreitung von Malware und Spam-Mails suchen. Genau so werden Port 2745 von Backdoor Bagle und Port 3127 von Backdoor Mydoom verwendet. Interessant ist, dass Port 11768, der von den Vorgängern von Dipnet verwendet wurde, es nicht in die Hitliste des vergangenen Jahres schaffte.

Eigentlich wird Port 5554 von den Webservern SGI Embedded Support Partner verwendet, doch ein Großteil des Traffics, der auf diesem Port abgefangen wurde, zeigte die Nutzung durch Sasser zum Aufbau eines FTP-Servers. Der Wurm Dabber, der im Mai 2004 auftauchte, verwendet den Exploit für FTP-Server, der von Sasser auf Port 5554 organisiert wurde – das erklärt auch den Traffic, der hier beobachtet wurde.

Port 4444 ist nichts anderes, als die Hülle der Befehlszeile von Blaster, die für die Replikation dieses Wurms verwendet wird. Außerdem ist er ein Ziel für Portscanner, die nach Systemen mit aktivierten Backdoors suchen.

Port 3128 wird traditionell von Proxy-Servern verwendet, wodurch er zur Zielscheibe für Spammer wurde, die nach Computern suchen, die zur Verbreitung von Werbung genutzt werden können. Einige der bekannten Würmer sind ebenfalls für die Verwendung der Proxy-Server auf diesem Port programmiert.

Die letzten Plätze dieser Hitliste belegen die Ports 6129 (Dameware), 42 (WINS) und 21 (FTP).

Geografische Verteilung der Internet-Attacken und -Sonden

Rating Prozentualer Anteil an den gesamten Attacken Land
1 27,38 China
2 21,16 USA
3 6,03 Südkorea
4 2,82 Kanada
5 2,04 Hongkong
6 2,00 Russland
7 1,88 Spanien
8 1,77 Philippinen
9 1,72 Japan
10 1,63 Taiwan
11 1,25 Deutschland
12 1,25 Niederlanden
13 1,13 Großbritannien
14 0,72 Frankreich
15 0,41 Italien
16 0,39 Brasilien
17 0,31 Schweden
18 0,29 Indien
19 0,25 Polen
20 0,22 Uruguay

Geografische Verteilung der Internet-Attacken und -Sonden

Auf die drei führenden Länder fallen über 50 Prozent der weltweiten Attacken und Sonden des letzten Jahres. China wurde zum wichtigsten Ursprungsland und überholte damit die USA, die noch im Vorjahr Spitzenreiter waren. Das hängt mit dem immer besseren Zugang zum Internet zusammen: Nach Angaben des FBI nutzten Ende 2004 bereits 94 Millionen Anwender in China das Internet. Außerdem hängt diese Entwicklung mit dem gestiegenen Bekanntheitsgrad von Sicherheits-Software sowie mit der härteren Gesetzesgebung gegenüber Cyberverbrechern in den USA zusammen.

Interessant ist, dass in China 57 Prozent der Computer stehen, die durch Slammer infiziert wurden und zur gleichen Zeit in Korea – das früher stark von Viren betroffen war – nur 1 Prozent befallen wurde. Dies zeigt das unterschiedliche Interesse an Sicherheitsfragen in diesen beiden Ländern.

Relevant ist auch die Betrachtung der Anzahl der Attacken pro Einwohner. Im Ergebnis sehen wir die folgenden Veränderungen im Rating:

Rating Land
1 Hongkong
2 Südkorea
3 Kanada
4 Niederlanden
5 USA
6 Taiwan
7 Uruguay
8 Spanien
9 Schweden
10 China
11 Philippinen
12 Großbritannien
13 Deutschland
14 Japan
15 Russland
16 Frankreich
17 Italien
18 Polen
19 Brasilien
20 Indien

Hongkong und Südkorea, Länder mit hoher Bevölkerungsdichte und gleichzeitig sehr hohem Internet-Anteil, führen im Rating. Es folgen Kanada, die Niederlande und die USA. China landete auf Platz 10, jedoch nur dank seiner hohen Bevölkerungsdichte und gleichzeitig geringer Internet-Nutzung.

Noch relevanter ist die Betrachtung der Anzahl der Attacken proportional zur Anzahl der Internet-Nutzer in diesen Ländern:

Rating Land
1 Hongkong
2 Uruguay
3 Philippinen
4 Russland
5 China
6 Südkorea
7 Spanien
8 Kanada
9 Niederlanden
10 USA
11 Taiwan
12 Schweden
13 Großbritannien
14 Frankreich
15 Deutschland
16 Japan
17 Polen
18 Brasilien
19 Italien
20 Indien

Auch hier belegt Hongkong den ersten Platz, Korea liegt auf Platz 6. In Deutschland sind die Internet-Nutzer dagegen offenbar relativ sicher.

Wenn es um Schadprogramme geht, deren Replikation auf Netzebene erfolgt, sieht die Situation etwas anders aus:

Rating Prozentualer Anteil an der gesamten Malware Land
1 38,31 China
2 21,99 USA
3 3,09 Japan
4 2,70 Südkorea
5 1,40 Hongkong
6 1,36 Taiwan
7 1,17 Indien
8 1,14 Deutschland
9 0,98 Niederlanden
10 0,90 Großbritannien

Wieder kommen auf China und die USA die meisten Infizierungen, Japan belegt Platz 3. Interessant ist auch, dass Indien Platz 7 belegt. Im Vergleich zum Vorjahr wuchs die Zahl der infizierten Computer sowohl in Indien als auch in Japan.

Wichtige Updates

Im letzten Jahr wurden mehrere kritische Sicherheitslücken in den Microsoft-Produkten entdeckt, wobei aber nur eine (MS05-039) von den Cyberverbrechern verwendet wurde. Zu den Lücken, die bislang von Würmern und Hackern noch nicht in so großem Maßstab verwendet wurden, gehören MS05-051 (sie wird von Dasher.B ausgenutzt, der aber keinen bedeutenden Schaden verursacht), MS05-043 (Sicherheitslücke im Service Print Spooler), MS05-021 (Sicherheitslücke Exchange Server), MS05-019 (Sicherheitslücke in der Realisierung von TCP/IP in Windows), MS05-011 (SMB-Sicherheitslücke) und MS05-010 (Sicherheitslücke im Service License Logging). Kaspersky Lab empfiehlt allen Anwendern, die Windows-Updates unter der üblichen Adresse herunterzuladen.

Unter den neuen kritischen Sicherheitslücken ist wahrscheinlich XML-RPC for PHP Code Execution Vulnerability für Unix die wichtigste. Da die XML-RPC-Komponente in vielen bekannten Web-Anwendungen benutzt wird – etwa bei b2evolution, WordPress und TikiWiki – überwiegt hier die Kategorie der herkömmlichen Würmer wie Lupper. Die Sicherheitslücke AWStats ‚configdir“ Parameter Arbitrary Command Execution Vulnerability wurde ebenfalls zu einer beliebten Zielscheibe auf Unix-Maschinen.

Zu den älteren Sicherheitslücken, die auf Unix-Systemen ausgenutzt werden, gehört AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability, die von Lupper und seinen Modifikationen benutzt wird.

Die Patches für diese Sicherheitslücken können Sie von folgenden Webseiten herunterladen:

Außer den bereits erwähnten Sicherheitslücken verschafften sich die Übeltäter vor allem über Konfigurationsfehler und ältere Exploits Zugang auf Unix-Maschinen.

Schlussfolgerungen und Tendenzen

Betrachten wir die Statistiken, bemerken wir vor allem zwei wichtige Zielscheiben im Internet: Die erste sind Computer, die lange nicht aktualisiert wurden und somit nicht nur für neue, sondern auch für viele alte Exploits angreifbar sind. Es ist offensichtlich, dass die Besitzer dieser Maschinen keine Patches und Update-Pakete installieren und dadurch zahlreiche Server im Internet schaffen, die für Viren und andere Malware angreifbar sind. Zur zweiten Kategorie gehören Computer, deren Besitzer sehr schnell die angreifbaren Programme aktualisieren, wodurch die Anzahl der Attacken, die völlig neue Sicherheitslücken nutzen, wesentlich geringer ist, als in den Vorjahren. Dies zeigt, dass die Aufklärungskampagnen Früchte tragen – vor allem in den USA. Dagegen befinden sich in solchen Ländern wie China, wo die Sicherheit fast vollständig ignoriert wird, die meisten Computer mit älteren und anfälligeren Versionen der Betriebssysteme und Programme.

Eine weitere wichtige Beobachtung ist die gewaltige Zunahme der Attacken, die mit Spam in Verbindung stehen, sowie der Attacken, über die sich die Übeltäter finanziell bereichern wollen. Außerdem enthält die Mehrheit der neuen Netzwürmer Backdoor-Komponenten, die von Spammern genutzt werden, sobald die entsprechenden Würmer bekannt werden. Die Zahl der Sonden, die für die Suche offener Proxy-Server vorgesehen sind, nahm aus ähnlichen Gründen ebenfalls erheblich zu.

Flash-Würmer, die vor zwei Jahren ein ernsthaftes Problem darstellten, erreichen nicht mehr die oberen Positionen in der Statistik. Ihre Stelle nehmen Schadprogramme ein, die erstellt werden, um Profit zu machen. Hier haben wir es mit einem neuen Phänomen zu tun, über das wir schon berichtet haben – den so genannten „Business-Würmern„.

Schließlich erwarten wir eine weitere Zunahme der Attacken, die mit Spam-Mails zusammenhängen, sowie den Anstieg von Würmern und Bots, die nicht nur eine, sondern zwei oder mehrere Sicherheitslücken ausnutzen. Kaspersky Lab wird auch die Situation in China weiterhin aufmerksam verfolgen, wo es derzeit die meisten angreifbaren Computer gibt und von wo aus die Situation in der virtuellen Welt wesentlich beeinflusst wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.