Boletín de seguridad de Kaspersky

Boletín de seguridad Kaspersky. Enero-junio de 2006. Ataques por Internet

En el informe anterior de Laboratorios Kaspersky (*1), discutimos las formas de ataque más populares realizadas en Internet durante 2005 y proporcionamos un análisis de su distribución según el país de origen del ataque. También dimos una descripción de la evolución de algunas programas malintencionados a través del año, y concluimos que China fue el jugador principal, con más del 38% de los ataques procedentes de malware originado allí.

En el presente artículo se analizarán los ataques interceptados por la red Smallpot durante los primeros seis meses de 2006. Revisaremos la distribución de los ataques basados en la dirección IP de la fuente y el país de origen asociado, y veremos si la situación ha cambiado de alguna manera importante desde 2005. La parte final del artículo examina algunos de los parches lanzados en la primera mitad de 2006 que podrían tener un impacto en los ataques vía Internet y la evolución del malware, e incluye conclusiones y pronósticos para el futuro.

Estadística

Los 20 principales sondeos y ataques vía Internet en la primera mitad de 2006

Posición % del total Tipo Nombre Boletín Cambios en la posición
1 37,39 sondeo HTTP GET Generic
2 12,72 sondeo FTP +17
3 9,28 exploit Buffer Overrun in Microsoft RPC MS03-026 +7
4 9,20 Gusano Slammer.A MS02-039
5 4,07 gusano Lupper CVE-2005-1921, CVE-2005-0116, CVE-2005-1950 nuevo
6 3,90 gusano Blaster MS03-026 +6
7 3,81 sondeo Webdav MS03-007 -2
8 3,77 sondeo Radmin -6
9 3,27 sondeo SSH bruteforce -1
10 2,27 sondeo MSSQL -4
11 2,22 exploit Microsoft ASN.1 MS04-007 -2
12 0,87 exploit WINS MS04-045 +6
13 0,80 sondeo HTTP CONNECT -3
14 0,44 exploit Microsoft SQL Server 2000 Resolution Service MS02-039 -7
15 0,22 gusano Dabber +1
16 0,13 gusano Dameware VU#909678 -2
17 0,12 sondeo Dipnet -14
18 0,11 sondeo Kuang backdoor execute command nuevo
19 0,09 sondeo HTTP HEAD Generic nuevo
20 0,09 sondeo SSL Handshake sondeo

Sondeos y ataques vía Internet, los 20 más frecuentes durante la primera mitad de 2006

Sin una disminución visible de la cantidad de Spam enviada vía Internet, no es ninguna sorpresa que el sondeo genérico HTTP GET todavía conserve el primer lugar. Realmente, hemos registrado un aumento notable de más del 5% en el número de sondeos. Esto demuestra que buscar servidores abiertos que se puedan utilizar más adelante para enviar spam sigue siendo muy común, sin duda porque es provechoso.

En segundo lugar están los intentos de contraseña anónima FTP. Desde el año pasado han subido diecisiete lugares y ahora abarcan más del 12% del número total de sondeos y ataques. En la mayoría de los casos, tales sondeos son generados por herramientas automatizadas que se diseñan para encontrar los sitios FTP que pueden entonces ser utilizados para cargar y compartir software ilegal.

La vulnerabilidad notoria explotada por Blaster, saturación del búfer en la interfaz de RPC que fue detallada en MS03-026, también ha escalado no menos de 7 posiciones. Esto se puede atribuir al aumento en el número de bots (variantes Rbot y basadas en IRCbot) que utiliza exploits para esta vulnerabilidad. Su código de fuent y los exploits para MS03-026, están ampliamente disponible. Debería notarse que ésta es apenas una de las vulnerabilidades explotadas por tales redes, pero es en gran medida la más popular, a pesar de tener más de tres años.

Slammer, el gusano de MSSQL lanzado en enero de 2003 todavía se está dispersando activamente; de hecho, su difusión parece haber aumentado. Con el 9.20% del total, estos ataques son como el ruido de fondo en Internet – una máquina al azar conectada a Internet será atacada por Slammer por lo menos una vez al día.

En el puesto número cinco viene Lupper, un gusano para Linux relativamente nuevo que apareció en noviembre de 2005, pero que se tomó un cierto tiempo para diseminarse por Internet. Este gusano, que utiliza varios exploits que apuntan hacia las populares bibliotecas de PHP/CGI, cuenta con más del 4% de todos los informes recibidos durante los primeros seis meses de 2006

Mes % del total
Enero 62,73
Febrero 23,24
Marzo 5,75
Abril 1,65
Mayo 0,20
Junio 6,44

Ataques del gusano Net-Worm.Linux.Lupper.a (y sus variantes) en enero-junio de 2006

Como muestra la tabla, la mayor parte de los ataques llevados a cabo por este gusano ocurrió en enero y febrero, para luego perder popularidad. La evolución de nuevas versiones capaces de usar exploits, recientemente descubiertas, fueron la causa del aumento de ataques en junio.

Resulta interesante que a medida que la vulnerabilidad de la saturación del búfer en la interfaz de RPC fue difundiéndose, lo mismo empezó a ocurrir con el infame gusano Blaster, que todavía se sigue diseminando vía Internet. Aunque es menos común que Slammer, Blaster todavía es la causa de casi el 4% de todos los ataques.

Los ataques de Webdav (MS03-007), realizados por bots y herramientas de hackers, han descendido dos puestos. Tales ataques son relativamente antiguos, y probablemente menos exitosos hoy en día que en el pasado. Sin embargo, pueden todavía ser encontrados en gusanos recientes que explotan vulnerabilidades mucho más nuevas.

Los ataques de Radmin, que estaba en el tercer lugar en las evaluaciones de 2005, han caído seis puestos. Con los parches disponibles para las versiones vulnerables de software y las nuevas versiones de Radmin que están siendo desarrolladas, estos ataques probablemente continuarán disminuyendo.

Los ataques de fuerza bruta de contraseña dirigidos a SSH y las tentativas de conexión a MSSQL (que son seguidas generalmente por ataques de fuerza bruta) se pueden encontrar en las posiciones nueve y diez. Ambos son métodos menos eficaces para forzar la entrada a un sistema, y por lo tanto se suelen utilizar contra un blanco específico, más que a gran escala.

Por supuesto, una vez que un sistema ha sido identificado como dependiente de un servidor SSH o MSSQL, el agresor puede comenzar un ataque usando contraseñas basadas en un orden de diccionario o alfabético contra cuentas comunes tales como “raíz” o “SA”.

Los exploits de Microsoft ASN.1 también han disminuido cerca de un 0,5% y han caído dos puestos. En el pasado, tales exploits se atribuían a variantes de Rbot y de Bozori.c. Las variantes Rbot todavía se están diseminando, pero Bozori.c ya está casi extinto, lo cual explica la reducción del número de ataques.

Por otra parte, los recientes ataques de WINS se han vuelto más comunes. Además, estos ataques se utilizan más que todo en gusanos de red.

Los sondeos que buscan la puerta trasera instalada por el gusano Dipnet han mostrado un descenso más rápido, bajando desde el tercer lugar el año pasado al decimoséptimo lugar este año. Puesto que Dipnet fue más o menos erradicado en otoño de 2005, las ocasiones de encontrar una máquina aún infectada por este gusano son bastante bajas. Los spammers que usan herramientas automatizadas para buscar tales máquinas sin duda, han adecuado sus tácticas.

Los veinte superiores durante la primera mitad de 2006 contienen cuatro nuevas entradas. Además de Lupper, hemos interceptado un número creciente de sondeos que buscaban la puerta trasera de Luang, peticiones de HTTP HEAD y peticiones de conexión con SSL. El aumento de sondeos en la puerta trasera de Kuang puede ser atribuido a gusanos que pueden reproducirse afectando máquinas ya infectadas por la puerta trasera; los otros dos son típicos sondeos de “petición de información”.

Las 10 primeras vulnerabilidades usadas en ataques vía Internet

Posición Boletín Descripción
1 MS03-026 Buffer Overrun in RPC May Allow Code Execution
2 MS02-039 Buffer Overruns in SQL Server 2000 Resolution Service Might Enable Code Execution
3 MS03-007 Unchecked buffer in Windows component may cause Web Server compromise
4 MS04-007 An ASN.1 vulnerability could allow code execution
5 CVE-2005-1921 Eval injection vulnerability in PEAR XML_RPC 1.3.0 and earlier (aka XML-RPC or xmlrpc) and PHPXMLRPC (aka XML-RPC For PHP or php-xmlrpc) 1.1 and earlier
6 CVE-2005-0116 AWStats 6.1, and other versions before 6.3, allows remote attackers to execute arbitrary commands via shell metacharacters in the configdir parameter
7 CVE-2005-1950 hints.pl in Webhints 1.03 allows remote attackers to execute arbitrary commands via shell metacharacters in the argument
8 MS04-045 Vulnerability in WINS could allow remote code execution
9 VU-909678 DameWare Mini Remote Control vulnerable to buffer overflow via specially crafted packets
10 MS03-051 Buffer overrun in Microsoft FrontPage Server Extensions could allow code execution

Las diez vulnerabilidades más explotadas en ataques vía Internet, Enero – Jun de 2006

En comparación con el año pasado, hemos notado un aumento en el número de tentativas de explotar vulnerabilidades en los sistemas operativos y los productos de fabricantes diferentes a Microsoft. Más notablemente, algunas de las vulnerabilidades explotadas por Lupper han entrado al ranking, ocupando los puestos cuarto, sexto y séptimo.

Y la vulnerabilidad más explotada durante ataques vía Internet en la primera mitad de 2006 es el familiar desborde del bufer en el servicio de resolución SQL 2000, detallado en el Boletín de Seguridad MS02-039 de Microsoft y mejor conocida como la vulnerabilidad explotada por Slammer.

MS03-026 y MS03-007 han cambiado de puestos desde nuestro informe anterior; todavía ambos son explotados con frecuencia.

La última diferencia notable es la adición de MS03-051, que entró al ranking en el décimo lugar. El Boletín de Seguridad asociado, titulado “La saturación de un búfer en las Extensiones de servidor de Microsoft FrontPage podría permitir la ejecución de código (813360”) proporciona enlaces a las actualizaciones de seguridad necesarias para parchar las máquinas vulnerables.

Sobre todo, debe observarse que las diez primeras vulnerabilidades fueron detectadas antes de 2006. Esto no significa que vulnerabilidades más recientes no se estén explotando. Significa simplemente que esto no está sucediendo a gran escala.

Los principales veinte puertos usados en ataques via Internet

Posición % del total Puerto
1 34,85 445
2 24,99 1026 (UDP)
3 17,89 80
4 5,07 1027 (UDP)
5 3,72 1025 (UDP)
6 3,09 21
7 2,64 135
8 2,63 1434 (UDP)
9 1,68 1433
10 0,89 4899
11 0,79 22
12 0,54 4444
13 0,31 3128
14 0,26 42
15 0,11 5554
16 0,11 6588
17 0,08 443
18 0,04 6129
19 0,03 17300
20 0,03 3127

Los principales veinte puertos usados en ataques vía Internet Enero – Jun de 2006

En el pasado, los principales veinte puertos usados en ataques por Internet han probado ser una fuente valiosa de información sobre las vulnerabilidades más buscadas por hackers y criminales cibernéticos. En 2005, las exploraciones de puertos intentaron explotar máquinas que ejecutaban Windows, siendo el puerto 445 el blanco número uno. Esto no es ninguna sorpresa pues los sondeos del puerto 445 siguen encabezando el ranking en la primera mitad de 2006. Hemos destacado este tema en nuestro informe anterior, y concluimos que la gran mayoría de los ataques del Internet o están tomando como blanco a muy viejas versiones de Windows o a muy nuevas vulnerabilidades todavía sin parches.

Hubo un aumento interesante en el número de sondeos y ataques contra los puertos 1025, 1026 y 1027. Todos éstos son utilizados por spammers para enviar mensajes por Windows Messanger Service. A pesar de estar siendo bloqueados por defecto en las más nuevas versiones de Windows, la mayoría de las máquinas que ejecutan Windows 2000 y Windows XP sin P2 todavía mantienen estos puertos como un blanco frecuente.

Los ataques al puerto 80 han permanecido más o menos constantes, manteniendo su porcentaje por la búsqueda de los proxies abiertos mencionados arriba. Es interesante observar que en algunos casos, las máquinas de Smallpot han sido golpeadas por la búsqueda de bots de máquinas que parecen estar sondeando al azar direcciones IP en Internet. Una vez que un servidor de la web ha sido identificado, el robot de búsqueda procura recoger la página del índice y más adelante, el sitio Web entero. Esto explica por qué la gente que ha instalado servidores de web en sus máquinas caseras más adelante han encontrado la dirección de su sitio enumerada en los motores de búsqueda importantes sin q ue haya sido publicada en ninguna parte de Internet.

Los sondeos del puerto 21 (FTP) también han aumentado, elevándose doce puestos. Según lo explicado en el capítulo anterior, el FTP se ha convertido en un blanco popular para herramientas que identifican sitios que pueden ser utilizados para distribuir software pirateado. Esta actividad, y el aumento correspondiente, se relacionan directamente con la subida del crimen cibernético, particularmente del crimen en Internet.

Distribución geográfica de los ataques y sondeos vía Internet

Posición País % del total
1 EEUU 40,60
2 China 17,22
3 Filipinas 4,58
4 Alemania 4,14
5 Canadá 2,63
6 Francia 2,61
7 Reino Unido 2,25
8 Japón 2,14
9 Corea del Sur 2,09
10 Rusia 1,77
11 Hong Kong 1,63
12 Holanda 1,32
13 Taiwán 1,22
14 España 0,74
15 México 0,73
16 Italia 0,69
17 Noruega 0,67
18 Australia 0,66
19 Suecia 0,62
20 Bélgica 0,42

Distribución geográfica de los ataques vía Internet y sondeos, enero – junio de 2006

En 2004, los EE.UU. eran la primera fuente de los sondeos y los ataques que interceptamos. Sin embargo, en 2005 la situación cambió cuando China superó a los EE.UU. por más del 6%. Este año la situación se invierte, ya que el 40.60% de todos los ataques en el mundo que se originan otra vez en los EU.UU. y el 17.22% de ataques provienen de China; esto es una pequeña gota en términos del porcentaje, y no es debido a una disminución del número real de los ataques que vienen de China sino al enorme aumento en el número de los ataques que vienen de los EE.UU.

Corea del Sur, que estaba en el tercer lugar el año pasado, ha caído al noveno, mientras que su lugar fue tomado por las Filipinas. Alemania también demuestra una sensible tendencia ascendente; con respecto a año pasado, interceptamos, en promedio, tres veces más ataques originados en Alemania.

Otro cambio notable es Francia, que subió hasta el sexto lugar en comparación con el decimocuarto del año pasado. Rusia, por otra parte, ha caído desde el sexto al décimo lugar.

Está claro que el cambio más significativo es el gran aumento en el número de ataques y sondeos procedentes de los EE.UU. Tal aumento fue inesperado; durante el período examinado en el informe anterior, la reducción en los ataques que venían de los EE.UU. fue atribuida al aumento de las soluciones de seguridad así como a leyes más terminantes sobre crimen cibernético. El significativo cambio ocurrido en la primera mitad de 2006 es muy desalentador.

El número de los ataques relacionados con malware específico procedente de los EE.UU. también ha aumentado de forma notable. Por ejemplo, la tabla de abajo muestra la distribución geográfica de las máquinas infectadas con las variantes de Lupper durante la primera mitad de 2006.

Posición País % del total
1 EEUU 29,71
2 Alemania 9,97
3 China 7,87
4 Francia 5,83
5 Japón 4,42
6 Taiwán 4,27
7 Italia 3,99
8 Polonia 2,78
9 España 2,78
10 México 2,73

Países con equipos infectados por Net-Worm.Linux.Lupper.a (y sus variantes), primer semestre de 2006

En el pasado, la mayoría de los equipos en red infectados con malware estaba en China. Ahora la situación es muy diferente: una cifra bastante elevada, casi un tercio de todas las infecciones de Lupper, provienen de los EE.UU. Países como Polonia, Japón y Alemania han demostrado siempre muestras de las infecciones de Linux, simplemente porque Linux parece ser una opción popular en estos países. China está en el tercer lugar con un 7.87%, pero en general, los casos del malware para Linux son relativamente raros; la mayor parte de los ataques relacionados con malware proveniente de China son causados por Slammer.

Esto se demuestra claramente en la tabla de abajo:

Posición País % del total
1 China 71,77
2 EEUU 5,47
3 Japón 4,93
4 Reino Unido 1,29
5 Hong Kong 1,15
6 India 1,10
7 Taiwan 1,07
8 Brasil 0,52
9 Suecia 0,48
10 Francia 0,44

Los diez países principales con infecciones de Slammer

En comparación con el año anterior, lo más notable es que, aparte de los 71.77% de todas las infecciones de Slammer en China, el virus casi ha desaparecido en el resto del mundo.

Parches y paquetes de servicio (SP) importantes

Tal como se muestra en la información precedente, hemos llegado a un punto en la evolución de la seguridad informática, en el cual las nuevas fallas son rara vez explotadas a gran escala. En el caso de algunas notables excepciones, estas fallas fueron explotadas por gusanos que utilizaron grietas para reproducirse. Se creó la gran mayoría de estos gusanos con fines de lucro.

A pesar de ello, no hay que subestimar la importancia de los parches y paquetes de seguridad, que deben instalarse sin demora después de su lanzamiento, a fin de minimizar el periodo de exposición a las amenazas. En los últimos tres años, y gracias a Trusted Computing Initiative, Microsoft no sólo se ha concentrado en arreglar las fallas de seguridad de Windows y de otros productos, sino que también ha comenzado a lanzar parches con más frecuencia que antes. Como la lista de las 10 vulnerabilidades más importantes susceptibles de ataques por Internet no incluye ninguna que haya sido descubierta durante este año, sólo nos queda asumir que este enfoque es correcto.

Durante el primer semestre de este año, se han identificado graves fallas de seguridad en el software de Microsoft (el término ‘grave’ se refiere a fallas que pueden ser explotadas de forma remota y que pueden resultar en la ejecución arbitraria de códigos). Hasta ahora, las mayores vulnerabilidades han sido, sin duda, los puntos débiles identificados en varios productos de Microsoft Office tales como Word o PowerPoint. Estas vulnerabilidades se encuentran detalladas en el boletín de seguridad de Microsoft MS06-027 titulado “Vulnerability in Microsoft Word Could Allow Remote Code Execution (917336)” así como también en los boletines MS06-028 y MS06-012.

También se han identificado vulnerabilidades de acceso remoto en varias versiones de Windows. De todas ellas, quizá la más grave sea la de TCP/IP descrita en el boletín de seguridad de Microsoft MS06-032. Sin embargo, cabe hacer notar que la característica IP Source Routing tiene que estar habilitada para explotar esta vulnerabilidad; dicha característica está deshabilitada por defecto en los sistema Windows XP Service pack 2 y Windows Server 2003 Service Pack 1.Otras fallas críticas se detallan en el boletín de seguridad de Microsoft MS06-025 llamado “Vulnerability in Routing and Remote Access Could Allow Remote Code Execution (911280)”. De consumarse la vulneración, el usuario remoto malicioso llegaría a controlar el sistema de la víctima.

Para parchar los sistemas afectados, utilizando Internet Explorer, visite el sitio http://update.microsoft.com/ y asegúrese de que se encuentre activada la opción ‘actualizaciones automáticas’.

En lo que respecta a los sistemas Linux, en el primer semestre de 2006 se identificó un bajo número de fallas críticas de seguridad. Dejando de lado la cuestión de una configuración defectuosa, los recientes casos que llegaron a comprometer un sistema Linux tuvieron su origen en errores en algunas bibliotecas y productos de terceras partes, por ejemplo “sendmail”, en el que se identificó una falla grave en marzo de este año, la cual se encuentra detallada en Secunia Security Advisory (*2). Las modernas distribuciones de Linux vienen acompañadas de un servicio de actualización automática, como ‘yum’ (*3) que puede ser empleado para descargar e instalar los últimos parches de seguridad para los paquetes registrados en el sistema.

Tal como se indicó en nuestro respectivo informe (*4), la plataforma MacOS X tampoco se está libre de fallas de seguridad. Sin embargo, y para beneficio suyo, MacOS X se actualiza de modo automático por defecto; a pesar de ello, sus usuarios deberían asegurarse de que el sistema operativo esté configurado para recibir actualizaciones con la mayor frecuencia posible. Esto se puede lograr seleccionando las opciones Preferencias -> Actualización de Software -> Recibir actualizaciones -> Diariamente. Otra medida adicional de seguridad consiste en seleccionar la opción “Descargar actualizaciones importantes sin visualización”.

Conclusión

El análisis de los datos recolectados durante el primer semestre de 2006 nos lleva a dos claras conclusiones:

Primera: se ha producido un inesperado aumento en el número de ataques originados en los Estados Unidos, lo cual puede atribuirse tanto a la reducción de presupuesto para soluciones de seguridad, como a la evolución de nuevas formas de ataques que vulneran fallas en dichas soluciones. Una conclusión derivada es que las compañías se han preocupado por proteger sus equipos con plataformas Microsoft, pero no han hecho lo mismo con sus equipos con sistema Linux. Es posible que se deba a una falsa sensación de seguridad, que parece ser muy común en el caso de los sistemas *nix. Cualquiera que haya sido la causa, parece que los administradores de sistemas han olvidado actualizar sus equipos. Esto es evidente a partir del hecho de que en Estados Unidos se encontraban dos tercios de los equipos infectados con programas maliciosos que vulneraron las nuevas fallas en las populares bibliotecas y herramientas PHP. Por fortuna, la mayoría de los equipos afectados ya han sido parchados. Sin embargo, es importante subrayar que Lupper (y sus variaciones) fue el segundo gusano más expandido en las redes durante el primer semestre de 2006.

La segunda y más importante conclusión es la confirmación de una tendencia que hemos percibido y sobre la cual hemos escrito desde el año 2003: la delincuencia cibernética está en su auge. El análisis de los datos presentados en este informe, y de otros en el mismo período, evidencia de que se están invirtiendo cada vez más recursos para ganar dinero de forma ilícita vía Internet, ya sea a través de envíos masivos de correo no deseado, o de la venta de software pirata o de otros productos robados. Aparentemente, la mayoría de las personas implicadas en tales actividades están en los Estados Unidos. Pero la delincuencia cibernética no se limita a un solo país y se ha convertido en un fenómeno global.

En nuestro anterior informe habíamos pronosticado que los ataques relacionados con el envío masivo de correo no deseado continuarían incrementándose, lo cual ha sido confirmado por los datos presentados en este trabajo. Llama la atención el surgimiento de un nuevo tipo de ataque relacionado a la delincuencia cibernética: la detección de cuentas FTP vulnerables, que pueden ser aprovechadas para almacenar de forma gratuita programas maliciosos, software pirata y otros tipos de información. A menudo, la protección contra tales ataques consiste en la instalación de los últimos parches y en la utilización de cortafuegos y soluciones antivirus confiables y bien configurados .

Kaspersky Lab continuará haciendo seguimiento de la situación e informando sobre las últimas tendencias en el desarrollo de programas maliciosos, ataques por Internet y delincuencia cibernética.

Boletín de seguridad Kaspersky. Enero-junio de 2006. Ataques por Internet

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada