Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

Eksperci z Kaspersky Lab zebrali dane statystyczne dotyczące aktywności sieciowej, monitorując szkodliwe programy oraz identyfikując tworzone przez nie połączenia sieciowe. Podejście to pozwala obiektywnie ocenić aktywność cyberprzestępczą w sieciach lokalnych oraz w Internecie.

Statystyki dotyczące połączeń wykorzystujących protokół UDP nie są szczególnie interesujące, ponieważ szkodliwe programy rzadko wykorzystują ten protokół. Dlatego zbadano tylko statystyki dotyczące połączeń TCP. Przedstawione dane odpowiadają dominującej sytuacji z końca 2008 roku i nie obejmują aktywności sieciowej legalnych programów. Dużą część ruchu internetowego generują boty. Przedstawione tu dane odzwierciedlają typową aktywność botnetów.

Porty wykorzystywane przez szkodliwe programy. Połączenia sieciowe

Które porty są najczęściej wykorzystywane do ustanawiania połączeń sieciowych przez szkodliwe programy?
Najpopularniejszymi pod względem połączeń sieciowych (TCP) wykorzystywanych przez szkodliwe programy okazały się porty 139, 445 oraz 135. Porty te są wykorzystywane w usługach sieciowych Microsoft Windows, głównie w usługach współdzielenia plików w sieci Windows z wykorzystaniem protokołu NetBIOS. Należy zaznaczyć, że chociaż Windows wykorzystuje ten protokół do zautomatyzowanej dystrybucji wiadomości, powyższy diagram nie zawiera statystyk dotyczących standardowych połączeń systemu operacyjnego.

Ponad 96% przeanalizowanych przez Kaspersky Lab połączeń sieciowych wykorzystywanych przez szkodliwe programy miało miejsce na portach 139, 445 oraz 135. Tak duży odsetek związany jest z luką w zabezpieczeniach MS08-067, która została wykryta w październiku 2008 roku w usłudze sieciowej Windows. Na szczęście, w celu zwiększenia bezpieczeństwa prawie wszyscy dostawcy usług internetowych zablokowali ruch sieciowy do tych portów. NetBIOS znany jest jako potencjalne źródło luk w zabezpieczeniach systemów operacyjnych z rodziny Windows od czasu wprowadzenia systemów Windows 95 i Windows 98. Eksperci mogą się tylko domyślać, co stałoby się z Internetem w przeciągu kilku minut w październiku, gdyby dostawcy usług internetowych nie zaczęli filtrować NetBIOS! Mimo to luka w zabezpieczeniach MS08-067 to nadal aktualny problem dla niektórych sieci, np. sieci domowych i sieci organizacji komercyjnych oraz rządowych, w których protokół NetBIOS zwykle nie jest blokowany.

Zapytania sieciowe
Diagram pokazujący popularność różnych portów nie byłby kompletny bez porównania liczby połączeń sieciowych z liczbą zapytań sieciowych do portów wysyłanych przez szkodliwe programy, które tworzą te połączenia. Termin "zapytanie" eksperci definiują tutaj jako transfer jednego lub większej liczby pakietów sieciowych. Jeżeli program ustanawia 1 000 połączeń z tym samym portem, uznaje się, że jest to jedno zapytanie sieciowe do tego portu.

Z diagramu wynika, że 34% zapytań sieciowych wysyłanych przez szkodliwe programy kontaktuje się z portem 80, który jest standardowym portem dla serwerów sieciowych. Port ten jest również najczęściej wykorzystywany przez legalne programy.