Ataki internetowe 2005

Przeczytaj także: Ransomware: 30 lat nieprzerwanych sukcesów

W 2005 roku najaktywniej skanowanym portem był 445/TCP, który wykorzystywany jest w Windows 2000 przez SMB (współdzielenie plików i drukarki). W starszych wersjach systemu Windows wykorzystywane były do tego celu porty 135 i 139, jednak wraz z wersją Windows 2000 Microsoft przerzucił się na port 445. W celu kompatybilności, jeśli na porcie 445 nie można było znaleźć serwera SMB, wykorzystywane były starsze porty 135 oraz 139. Z 10 najpopularniejszych luk wykorzystywanych do ataków internetowych, następujące luki mogą być wykorzystywane poprzez port 445: MS03-026, MS04-007 (ASN.1) oraz niedawno wykryta luka MS05-039 (PnP).

Na drugim miejscu znajduje się port 80, wykorzystywany do transferu danych za pośrednictwem protokołu HTTP. Swą wysoką pozycję zawdzięcza intensywnym skanowaniom w poszukiwaniu otwartych serwerów proxy oraz istnieniu sporej liczby exploitów wykorzystujących protokół HTTP. Z 10 najpopularniejszych luk wykorzystywanych do ataków internetowych port 80 wykorzystuje luka AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability.

Innym popularnym celem hakerów i robaków jest port 135, wykorzystywany przez firmę Microsoft w DCOM Service Control Manager. Najczęściej wykorzystywany jest on przez exploity dla luki MS03-026. Port 135 wykorzystywany jest także do rozprzestrzeniania się przez dużą liczbę, jeśli nie większość, najnowszych wariantów Rbota oraz Agobota. Dotyczy to również szeroko rozpowszechnionego robaka Lovesan/Blaster.

Porty UDP 1025, 1026 oraz 1027 wykorzystują spamerzy wysyłający spam na Windows Messenger Service, który nasłuchuje te porty. Messenger Service dostępny jest również poprzez port 135. Jednak od epidemii wirusa Blaster wielu dostawców usług internetowych blokuje port 135. Tym samym inne porty pozostają otwarte na potencjalne ataki.

Porty UDP 1433 i 1434 wykorzystywane są przez SQL Server Microsoftu. Robaki i hakerzy wykorzystują je również do dostarczania różnych explitów dla tego serwera. Port UDP 1434 wykorzystywany jest do ataków na lukę MS02-039, która w 2005 roku była najaktywniej wykorzystywana, głównie przez robaka Slammer.

Port 4899, wykorzystywany przez Radmina, jest kolejnym popularnym celem hakerów, jak wynika z jego dość wysokiej pozycji na liście 20 najpopularniejszych sond i ataków internetowych. Port ten jest również celem kilku robaków, na przykład robaka Rahak.a oraz kilku wariantów Agobota.

Dużą liczbę sond, których celem jest port 15118, można tłumaczyć tym, że robak Dipnet.e oraz jego modyfikacje wykorzystywały go do identyfikowania zainfekowanych już komputerów. Ponieważ Dipnet otwiera na tym porcie backdoora, jest on również celem narzędzi skanujących w poszukiwaniu komputerów, które można wykorzystać do dystrybucji innych złośliwych programów lub spamu. Interesujące jest to, że port 11768, wykorzystywany przez poprzednie warianty Dipneta, nie zdołał zakwalifikować się do tegorocznej listy 20 najpopularniejszych portów wykorzystywanych do ataków internetowych. Port 2745 wykorzystywany jest w podobny sposób przez backdoora Bagla, a port 3127 przez backdoora Mydooma.

Tradycyjnie, port 5554 wykorzystywany jest przez serwery sieciowe SGI Embedded Support Partner, jednak duże natężenie ruchu przechwyconego na tym porcie w 2005 roku spowodowane jest robakiem Sasser, który uruchamia na nim serwer ftp. Robak Dabber, który pojawił się w maju 2004 roku, wykorzystuje exploit dla serwera FTP uruchamianego na porcie 5554 przez Sassera i to jest główny powód dużego ruchu obserwowanego na tym porcie.

Port 4444 nie jest niczym więcej niż interpreterem poleceń Blastera, wykorzystywanym podczas rozmnażania się robaka; jest również celem skanerów portów, które wyszukują systemy z aktywnymi backdoorami.

Port 3128 tradycyjnie wykorzystywany jest przez serwery proxy. Z tego powodu jest on celem spamerów wyszukujących komputery, które mogą wykorzystać do dystrybucji spamu. Również niektóre znane robaki zostały zaprogramowane do wykorzystania serwerów proxy na tych portach.

Ostatnie miejsca na liście zajmują porty: 6129 (Dameware), 42 (WINS) oraz 21 (FTP).