Wer will schon meinen SQL-Server?

Wir alle wissen, dass Cyberkriminelle alles und jeden angreifen, wenn sich Ihnen nur die Möglichkeit dazu bietet. Und wir bei Kaspersky wissen zudem, dass viele IT-Administratoren sich nicht ausreichend um ihre Internet-Ressourcen kümmern. Traurig aber wahr – fragen Sie mal einen Administrator, ob seine Server geschützt sind, und Sie erhalten in den meisten Fällen die Antwort: “Ach komm, wer will schon meinen SQL-Server?”

Vor einigen Monaten haben wir einen neuen Honigtopf (http://www.mwcollect.org) in unserem japanischen Forschungszentrum in Tokyo eingerichtet. Der Honigtopf wird hauptsächlich zum Sammeln schädlicher ausführbarer Windows-Dateien verwendet, was er auch bestens erledigt, indem er Shellcode emuliert, wenn er Netzwerk-Exploits findet. Ein Nebeneffekt bei dem Einsatz des Honigtopfes, der an allen Ports lauscht, ist, dass wir statistische (sowie auch unerwartete) Daten erhalten, die über verschiedenen Netzwerk-Ports von dem Host hereinkommen, der eine globale IP-Adresse hat.

Diese Grafik zeigt die Anzahl der Attacken und unerwünschten Verbindungen auf spezifischen Ports unseres Servers. Sie zeigt die zehn am meisten genutzten Ports, aber auch der am wenigsten häufig angegriffene Port (in diesem Fall, Port 1130) hat 16 Verbindungen pro Tag zu verzeichnen.

Hier eine Tabelle der gängigen Dienste, die jeden der oben aufgeführten Ports nutzen:

Wir hoffen, dass damit der Beweis dafür erbracht ist, was für uns sowieso offensichtlich ist – es gibt sehr wohl jemanden, der Ihren SQL-Server will! (Neben einigen anderen Dingen …). Die oben aufgeführten Daten zeigen zudem, dass es eine Menge Verbrecher gibt, die nach verwaisten Hosts Ausschau halten. Einige versuchen Backdoor.Win32.Noknok zu finden, während andere versuchen, über legitime Services wie Radmin und Windows Remote Desktop einzubrechen.

Vielleicht fragen Sie sich nun, wer denn nun auf der Suche nach schlecht geschützten Ressourcen ist? Hier kommt eine andere Grafik mit Informationen zu diesem Thema, die zeigt, wie viele Verbindungen verschiedene Länder jeden Tag zu unserem Honigtopf herstellen:

Machen Sie sich nun einmal die Mühe diese mit der ersten Grafik zu vergleichen! Sie werden feststellen, dass die Zahl der versuchten MSSQL-Attacken fast deckungsgleich mit den aus China stammenden Angriffen ist. Und kürzlich haben sich auch südkoreanische Hosts diesem massiven Versuch angeschlossen, den Service auszunutzen.

Honigtöpfe helfen uns, an verwundbare Daten zu gelangen; sie geben uns Material zur Analyse und zur Zahlenverarbeitung; und schließlich sind sie auch eine billige Form der Unterhaltung. Unser Honigtopf läuft auf einem 500 MHz Pentium III mit 384 MB RAM, der heutzutage vermutlich für weniger als 100 Dollar zu haben ist. Wenn Sie also im Begriff sind, Ihre wirklich alte, langsame Hardware zu entsorgen, dann denken Sie erst mal darüber nach, einen Honigtopf anzulegen! 😉

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.