Autores
- Desarrollo de los programas maliciosos en 2006
- Programas nocivos para UNIX y similares
- Virus para dispositivos móviles
- Ataques Internet: 2006
- El correo no solicitado en el año 2006
Introducción
Este informe de Kaspersky Lab resume los ataques y sondas recibidos por la red Smallpot durante 2006. En nuestro informe anterior1 que cubría el primer semestre de 2006, observamos un significativo aumento en el número de ataques originados en los Estados Unidos. La mayor parte de estos tenían como propósito obtener ventajas financieras, vulnerar fallas conocidas para infectar servidores proxy con spambots y troyanos.
El presente informe considera los ataques más expandidos durante 2006, así como su lugar de origen. Asimismo, compara la distribución de información de este año con la de 2005 y plantea sugerencias respecto a lo que podría pasar durante el siguiente año.
Estadísticas
| Posición | % | Tipo | Nombre | Consejos | Variación en posición (2005) |
| 1 | 34,29 | sonda | Sonda genérica HTTP GET | — | — |
| 2 | 16,38 | sonda | Login MSSQL | — | +4 |
| 3 | 8,54 | gusano | Slammer.a | MS02-039 | +1 |
| 4 | 6,51 | sonda | Login anónimo FTP | — | +15 |
| 5 | 6,19 | falla | Saturación de buffer en Microsoft RPC Interface | MS03-026 | +5 |
| 6 | 4,08 | sonda | Radmin | — | -4 |
| 7 | 3,59 | sonda | SSH Bruteforce Password Crack | — | +1 |
| 8 | 3,30 | falla | MS_ASN1 | MS04-007 | +1 |
| 9 | 3,00 | sonda | Webdav | MS03-007 | -4 |
| 10 | 2,78 | gusano | Blaster (y variantes) | MS03-026 | +2 |
| 11 | 2,22 | sonda | HTTP CONNECT | — | +4 |
| 12 | 2,07 | gusano | Lupper (y variantes) | CVE-2005-1921, CVE-2005-0116, CVE-2005-1950 | Nuevo |
| 13 | 0,50 | falla | WINS | MS04-045 | +5 |
| 14 | 0,22 | falla | Microsoft SQL Server 2000 Resolution Service | MS02-039 | -7 |
| 15 | 0,19 | sonda | SondaCGI-BIN | — | Nuevo |
| 16 | 0,18 | gusano | Dabber | — | — |
| 17 | 0,13 | gusano | Rbot/Agobot vía el ardid Webdav | MS03-007 | — |
| 18 | 0,10 | sonda | HTTP POST back | — | Nuevo |
| 19 | 0,09 | sonda | Dipnet | — | -16 |
| 20 | 0,09 | sonda | Kuang backdoor o comando de ejecución | — | Nuevo |
Los 20 ataques y sondas más importantes en 2006
En comparación con el año 2005, el número de sondas HTTP GET Generic se ha incrementado en un dos por ciento, pero es mucho más bajo que en el primer semestre de 2006. Esto indica que los creadores de spam han logrado crear un punto de saturación desde el cual bombardean spam a través de servidores proxy abiertos. Ya no quedan más servidores proxy abiertos para vulnerar. Las pequeñas variaciones en el número de sondas para este tipo de servicio se deben a nuevos programas maliciosos que aparecen y desaparecen, especialmente aquellos que instalan servidores proxy pirateados o gratuitos en sistemas comprometidos.
En cambio, el número de sondas en busca de servidores MSSQL ha subido cuatro posiciones, lo que representa un incremento de no menos del 12 por ciento. Este fenómeno tiene algunas explicaciones. Primero, los bots de las infames familias Rbot y Agobot son tan complejos que incluyen ardides casi para cada vulnerabilidad con buenas posibilidades de explotarse en Internet. Asimismo, con el advenimiento de los bots de fuente abierta se han creado muchas nuevas familias que incorporan los mismos ardides. Se diferencian muy poco de los bots arriba mencionados. Finalmente, hay cada vez más aplicaciones para Internet que utilizan grandes bases de datos, y a pesar de que LAMP (Linux, Apache, MySQL, PHP) es la plataforma favorita, MSSQL también se ha convertido en un objetivo común. Por supuesto que muchas de estas instalaciones están parcheadas en las versiones más recientes. Sin embargo, una débil contraseña SA puede ser vulnerada sin importar la versión del servidor.
A pesar de sus cuatro años de antigüedad, el gusano conocido como Slammer aún se encuentra expandiéndose de manera activa. Este gusano ha escalado una posición y no muestra signos de retroceder. Tal como se anotó en informes previos, hoy en día Slammer es un firme contribuyente al ruido de fondo en Internet causado por malware, y se alimenta de manera activa de centenas de equipos infectados en Asia y en todo el mundo.
Los intentos anónimos de login FTP han logrado la inusual marca de escalar 15 posiciones, ubicándose en el cuarto lugar de la clasificación. Durante el segundo semestre de 2006, estos intentos habían disminuido, y hay indicios de que el número de estas sondas decaerá durante los siguientes meses. A menudo se utilizan para encontrar servidores abiertos que puedan alojar malware o los así llamados “warez” (software pirateado). Se puede argumentar que los servidores FTP no constituyen el método más eficiente de distribución, razón por la cual otros sistemas, tales como BitTorrent o los anillos cerrados que usan Hamachi están ganando popularidad en el submundo informático.
La lamentable saturación de buffer en Microsoft RPC Interface ha ganado cinco lugares en comparación a 2005. Sin embargo, su dominio en general está en disminución si lo comparamos con el primer semestre de 2006. Tomando en cuenta que se trata de una vulnerabilidad relativamente antigua (que ya fuera reparada en 2003), no hay dudas de que continúe su decaimiento para llegar a convertirse en un ruido de fondo en Internet, donde muy probablemente permanecerá por un largo tiempo.
El número de sondas Radmin, el segundo tipo más importante de sondas durante 2005, experimentó un franco decaimiento. Resulta interesante que este número en realidad se incrementó durante el segundo semestre de 2006, lo cual puede ser atribuido a la circulación gratuita de bibliotecas de ardides y vulnerabilidades.
El descifrador de contraseñas Secure Shell también está gozando de mayor popularidad, colocándose una posición por encima de la que ocupaba en 2005. Debe tenerse en cuenta que, en general, el descifrado de contraseñas débiles se está convirtiendo en algo muy común. Con los gigantes de software como Microsoft concentrándose cada vez más en el tema de la seguridad, era de esperar que los ciberpiratas empezaran a colocar en la mira a las personas, que constituyen el eslabón más débil en la cadena de seguridad. Más adelante se abordará este tema con mayores detalles.
Los ardides Microsoft ASN.1 se utilizan hoy en día casi exclusivamente en bots, junto a otros que apuntan a fallas relativamente antiguas. Por ejemplo, la vulnerabilidad WebDAY descrita en el boletín Microsoft Security Bulletin MS03-007, es un año más antigua que la ASN.1, y goza casi de la misma popularidad.
El gusano Blaster y sus variantes que ocuparon la duodécima posición en 2005, han alcanzado la décima. Aunque no está causando muchas infecciones, tampoco parece estar desvaneciéndose con rapidez, y podría permanecer como ruido de fondo por un largo tiempo. Hay que tomar en cuenta que desde que Microsoft lanzó una herramienta desinfectante contra Blaster a través de Windows Update, la mayoría de los equipos que aún permanezcan infectados probablemente tengan versiones antiguas de Windows, como por ejemplo NT4, que no tienen acceso a actualizaciones automáticas. Resultará interesante verificar si el reciente lanzamiento de Windows Vista afectará de alguna manera a estos antiguos sistemas operativos, que podrían actualizarse desde NT4/2000 a XP o 2003, o directamente a Vista.
El número de sondas de HTTP CONNECT ha escalado cuatro posiciones en comparación al año 2005. Este notable aumento experimentado en el segundo semestre de 2006 probablemente siga en ascenso ya que se trata de un método alternativo de sondas para servidores proxy abiertos.
El gusano Lupper y sus derivaciones ya se extinguieron, pero tuvieron un notable impacto en el primer bimestre de 2006. Lupper demostró que los gusanos no sólo pueden expandirse en plataformas diferentes a Windows, sino que también pueden hacerlo con rapidez. El último informe recibido de Lupper data de Julio de 2006.
Los ardides WINS han tenido un leve aumento, sin alcanzar un porcentaje significativo. Este incremento posiblemente se debe a los varios gusanos que incorporan cientos de otros ardides.
Un dato que llama la atención es el referido a las sondas CGI-BIN ubicadas en el puesto número 15. Ya teníamos noticia de tales sondas tiempo atrás, pero su número se ha incrementado durante 2006. Algunas son causadas por gusanos que explotan las mismas rutinas que Lupper y sus similares, mientras que otras se generan en varias herramientas de hackers.
Las sondas HTTP POST back constituyen otro dato llamativo. Estas sondas son un intento de conectarse con el equipo en el cual se origina la conexión, por lo general mediante los puertos 16667, 6667 ó 6660. En estos se instala un servicio que registra todas las conexiones, lo cual es una señal de que el ordenador está manejando un servidor proxy abierto.
Para resumir hasta este punto nuestras observaciones referentes a 2006, aparecen de manera clara dos tendencias. Primera: las viejas vulnerabilidades se convierten en un tipo de ruido de fondo en Internet y por lo general se utilizan en bots. Segunda: debido a que relativamente se encuentran menos vulnerabilidades explotadas de modo remoto vía Internet, la idea consiste en dar un viraje para encontrar y piratear servidores (tales como SSH y MSSQL) que estén protegidos por contraseñas débiles.
Las diez vulnerabilidades más usadas en ataques Internet
Las diez vulnerabilidades más usadas en ataques Internet -2006
En cuanto a fallas vulneradas por ataques realizados a través de Internet, 2006 se distingue de los años precedentes. Esto se debe al aumento en el número de ardides dirigidos a sistemas y productos de marcas distintas a Microsoft. Sin embargo, el segundo semestre de 2006 marcó un significativo decaimiento del número de dichos ardides puesto que el gusano responsable de estos ataques, Lupper, se extinguió.
Llama la atención una mayor cobertura de los ataques apuntados a servidores MSSQL. Es por esta razón que las vulnerabilidades que ocupaban el primer y segundo lugar en nuestro informe sobre el primer semestre de 2006 intercambiaron posiciones con los ataques apuntados a vulnerabilidades detalladas en Microsoft Security Bulletin MS02-039 y pasaron a ser dominantes.
Como anotamos en nuestro informe precedente, ninguna de las vulnerabilidades detectadas en 2006 logra estar entre las diez primeras.
Los veinte puertos más usados en ataques Internet
| Posición | % | Puerto |
| 1 | 32,28 | 445 |
| 2 | 24,94 | 1026 (UDP) |
| 3 | 12,59 | 1433 |
| 4 | 12,35 | 80 |
| 5 | 4,80 | 1027 (UDP) |
| 6 | 2,31 | 1434 (UDP) |
| 7 | 1,89 | 1025 (UDP) |
| 8 | 1,51 | 135 |
| 9 | 1,42 | 21 |
| 10 | 0,86 | 4899 |
| 11 | 0,76 | 22 |
| 12 | 0,68 | 3128 |
| 13 | 0,40 | 4444 |
| 14 | 0,26 | 6588 |
| 15 | 0,14 | 42 |
| 16 | 0,10 | 443 |
| 17 | 0,08 | 5554 |
| 18 | 0,07 | 3127 |
| 19 | 0,02 | 17300 |
| 20 | 0,02 | 6129 |
En 2006 presenciamos un gran incremento en el número de conexiones al Puerto 1433, usado normalmente por MSSQL. Tal cambio sucedió en el segundo semestre, y el porcentaje de los puertos atacados se disparó del 1,68 al 12,59 por ciento. Sin embargo, una abrumadora mayoría de ataques y sondas seguía apuntando al puerto 445, el cual es utilizado por las últimas versiones de Windows para SMB (archivos e impresoras compartidas) en TPC.
El servicio Windows Messenger recurre a los puertos 1025, 1026 y 1027 y son blanco preferido de los creadores de spam. El servicio Windows Messenger (no confundir con MSN Messenger que es una aplicación IM) se desactiva por defecto en XP SP2 y en recientes versiones de Windows. Sin embargo, esto no detiene a los creadores de spam, que continúan enviando paquetes.
El Puerto 80, utilizado para conexiones HTTP, se mantiene en lo alto en su cuarta posición. La mayoría de las conexiones del puerto 80 son causadas por creadores de spam en busca de servidores proxy abiertos. Tales ataques por lo general se inician con la captura del índice del sitio, seguido por intentos de captura de sitios remotos. En algunos casos, se lanzan ardides específicos una vez que el servidor de Internet ha sido identificado. Además, los motores de búsqueda también son responsables del gran número de conexiones del puerto 80 a nuestros señuelos. Por ejemplo, Gooblebot necesita casi seis horas para sondear un señuelo recientemente instalado y al que de manera arbitraria se le había asignado una dirección IP de EE.UU.
El uso del Puerto 21, que se mantuvo ascendente durante el primer semestre de 2006, ha mostrado cierto decaimiento en los últimos meses, tal como mencionamos líneas arriba. Parece que los ciberpiratas han encontrado métodos más eficientes para distribuir su software o han descubierto que los servidores FTP no son muy apropiados para sus propósitos.
Distribución geográfica de los ataques y sondas en Internet
| Posición | País | % del total |
| 1 | EE.UU. | 35,63 |
| 2 | China | 21,73 |
| 3 | Alemania | 2,85 |
| 4 | Ucrania | 2,84 |
| 5 | Italia | 2,51 |
| 6 | Filipinas | 2,41 |
| 7 | Rusia | 2,26 |
| 8 | Canadá | 2,15 |
| 9 | Arabia Saudita | 1,97 |
| 10 | Corea | 1,78 |
| 11 | Francia | 1,67 |
| 12 | Japón | 1,57 |
| 13 | Países Bajos | 1,53 |
| 14 | Reino Unido | 1,51 |
| 15 | Hong Kong | 1,28 |
| 16 | Taiwán | 1,16 |
| 17 | Bélgica | 1,13 |
| 18 | Suecia | 1,00 |
| 19 | Israel | 0,86 |
| 20 | España | 0,62 |
Distribución geográfica de los ataques y sondas en Internet -2006
A lo largo de los últimos tres años, China y EE.UU. han estado compitiendo por el dudoso honor de encabezar la lista de “Distribución Geográfica de los ataques y sondas en Internet”. En 2004, EE.UU. se ubicaba en el primer lugar, situación que sufrió un cambio radical en 2005 cuando China se adueñó de ese puesto con el 27,38 por ciento del total de ataques. Durante el primer semestre de 2006, EE.UU. fue responsable de más del 40 por ciento de todos los ataques perpetrados. Sin embargo, esto cambió durante el segundo semestre del mismo año, plasmándose en las cifras arriba provistas.
Ahora, con la disminución del número de ataques originados en EE.UU., China ha continuado su ascenso, pasando de un 17 por ciento durante el primer semestre a un total anual del 21,73 por ciento. Este aumento fue notable en particular durante los últimos meses de 2006.
Un dato interesante en la lista es el de Arabia Saudita, que ahora es responsable del 1,97 por ciento del total de ataques. Otro caso interesante es el ingreso de Ucrania que se ha ganado el cuarto lugar, y el de Israel, nuevo miembro, ubicado en la plaza 19.
Por último, debe tomarse en cuenta que el número de ataques originados tanto en Alemania como en Filipinas ha declinado de manera notable. Ambos países se habían constituido en una constante fuente de ataques en años pasados, de manera que resulta alentador evidenciar ciertas mejoras en la situación.
Importantes parches y paquetes de servicio
En 2006 Microsoft lanzó 78 boletines de seguridad sobre varias vulnerabilidades. La mayoría de ellos eran para Windows, pero también se encontraron algunas vulnerabilidades en Office y en otros productos relacionados.
Algunos, como MS06-070 (Vulnerabilidad en Workstation Service podría permitir la ejecución remota de códigos (924270)) o MS06-040 (Vulnerabilidad en Server Service que podría permitir la ejecución remota de códigos (921883)) se refieren a fallas que pueden ser directamente vulneradas en Internet. Sin embargo, no se han reportado importantes ataques relacionados con estas vulnerabilidades. Una posible explicación para ello sería que la mayoría de las vulnerabilidades ha sido denunciada directamente a Microsoft por parte de compañías caza-errores y por ende, las fallas no se han hecho públicas. Otra posible razón es que la mayoría de los sistemas a los que se puede acceder vía Internet (por ejemplo aquellos sin cortafuegos) ejecutan versiones antiguas de Windows, las cuales son vulnerables a otros ataques más fáciles de perpetrar.
En general, es muy pequeño el número de fallas en los productos de Microsoft detectados durante 2006 y vulnerados directamente vía Internet. Cabe remarcar que las fallas vulnerables por acción remota y que requieren de una interacción directa por parte del usuario no han sido incluidas aquí. Se ha notado una masiva vulneración de este tipo de fallas durante 2006, razón por la cual serán cubiertas en un informe separado en el futuro. Tales vulnerabilidades incluyen aquellas descritas en MS06-078 (Vulnerabilidad en Winbdows Media Format podría permitir la ejecución remota de códigos (923689)), MS06-071 (Vulnerabilidad en Microsoft XML Core Services podría permitir la ejecución remota de códigos (928088)) y MS06-062 (Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de códigos (922581)).
Como es habitual, se puede utilizar Internet Explorer para acceder a http://update.microsoft.com/ y descargar parches para los sistemas Windows. No hay que dejar de actualizar Office, ya que muchas vulnerabilidades descubiertas en 2006 tienen que ver con productos de Office, como Word y PowerPoint.
En cuanto a los usuarios de Linux, varias fallas graves fueron reportadas en 2006, la mayoría de ellas directamente relacionadas con el núcleo de Linux. Algunas de estas fallas permiten ataques DoS contra un sistema vulnerable, mientras que otras permiten incrementar los privilegios. Sin embargo, cabe notar que hoy en día las distribuciones de Linux instalan una variedad de otros paquetes de software, por lo que quizás no sea tan preciso llamarlas “vulnerabilidades de Linux”. Por ejemplo, a principios de este año se informó de una grave falla en ‘sendmail’, pero las distribuciones más recientes de Linux no instalan ‘sendmail’ por defecto. A pesar de ello, la mayoría de los ataques perpetrados en 2006 contra sistemas Linux se basaron en vulnerabilidades de paquetes de software de terceras partes. Por ejemplo, en mayo de 2006 se encontró una vulnerabilidad en WordPress, el conocido software de blogs, que permite la ejecución de códigos en el ordenador capturado2. Aunque WoordPress no se instala por defecto en la mayoría de distribuciones Linux, es una de las opciones preferidas y muchas empresas anfitrionas lo incluyen por defecto en sus paquetes. Los profesionales en IT nunca se cansan de señalar que la seguridad es como una cadena, y ésta sólo puede ser tan fuerte como su eslabón más débil.
Además de proteger el sistema y limitar el acceso a servicios a quienes se encuentran fuera de la red, mantener actualizado Linux (y los sistemas Linux en general) es tan importante como mantener actualizados los sistemas Windows. Herramientas como ‘yum’ y ‘apt’ facilitan esta tarea.
Por último, en el caso de MacOSX, se han descubierto varias fallas en el año 2006, algunas de las cuales permiten la ejecución de códigos en el equipo cautivo. Ninguna de estas vulnerabilidades ha sido detectada en Internet, y afortunadamente Apple ha sabido realizar sus reparaciones con celeridad. Asimismo, MacOSX se mantiene actualizada por defecto. Esto hace que, por lo general, sean raras las máquinas no actualizadas que lleguen a conectarse a Internet.
Conclusión
En el análisis de los casos ocurridos en 2006 claramente sobresalen dos tendencias dominantes en la evolución de los ataques perpetrados vía Internet.
La primera tiene que ver con el ahora constante “ruido de fondo” en Internet causado por el gusano Slammer y por ejércitos de bots que vulneran fallas relativamente antiguas. La mayor parte de estas infecciones se originan en Asia, y no hay indicios de que desaparezcan, al menos no por el momento. Hoy en día, alrededor del 15 por ciento del tráfico a nivel de redes resulta afectado por este ruido de fondo; esta cifra no es alarmante y puede compararse con el volumen de spam allá por 1999. Con la aparición de nuevos sistemas operativos, se puede suponer que el número de antiguas instalaciones con fallas también decaerá. De manera paralela, esto provocará la disminución del ruido de fondo. Sería lamentable que dicho ruido alcanzara los actuales niveles que tiene el spam; si un 90 por ciento de Internet llegara a estar copado por este ruido, no sería sólo una molestia, sino que se convertiría en inservible.
La segunda es probablemente mucho más significativa en términos de la evolución de Internet. Tomando en cuenta el mayor interés mostrado por la seguridad de software y los oportunos lanzamientos de actualizaciones de seguridad, el número de fallas que pueden ser directamente vulneradas vía Internet ha sufrido una notable caída. Las más recientes distribuciones de Linux incorporan dispositivos de actualización automática y a veces se activan por defecto. Cuando se detecta un error, el ordenador potencialmente vulnerable descargará la actualización y la instalará, a veces sin necesidad de que el usuario se entere de ello. Lo mismo ocurre con Windows, pues Microsoft ha estado realizando grandes esfuerzos para asegurar la efectividad de Windows Update. Debido a ello, se ha producido un interesante cambio en el tipo de ataques perpetrados vía Internet, y sin duda esto tendrá efectos superlativos en un futuro cercano. Ahora que los errores se arreglan y que las nuevas fallas que pueden ser activadas de modo remoto a gran escala se van haciendo menos frecuentes, los malos de la película han empezado a concentrarse en aquellos servicios protegidos por débiles contraseñas. Esto queda demostrado por el incremento en ataques de decodificación de contraseñas dirigidos a MSSQL, SSH, FTP y otros servicios comunes con las mismas características.
La disminución en el número de fallas comunes susceptibles de ser vulneradas de modo remoto vía Internet ha dado lugar a otra tendencia: el surgimiento de vectores de entrega basados vía Internet. Por supuesto, la diferencia radica en que para que un sitio web malicioso lance un ataque, necesariamente el usuario debe visitar el sitio; sin embargo esto no ha sido suficiente para disuadir a los malos de la película para que dejen de utilizarlos. En realidad, el número de ataques vía Internet ha decaído de tal manera que ahora estos vectores se han convertido en el método preferido de entrega de malware. En un próximo informe sobre amenazas a través de Internet se abordará en detalle este tema.
En cuanto a la prevención y mitigación de los ataques Internet, la solución es de relativa sencillez. Si bien no se puede hacer mucho respecto al ruido de fondo, hay una manera simple de evitar ataques que buscan acceder a servicios protegidos sólo por contraseñas. Simplemente, hay que asegurarse de que ninguno de los servicios expuestos en Internet permita el acceso sólo mediante contraseñas, sino que requieran al menos un método de autentificación de dos factores. Para SSH, se puede desactivar la autentificación basada en contraseñas y recurrir a llaves públicas protegidas por contraseñas locales. Reemplazar FTP con SFTP, y para el acceso a Internet, utilizar SSL y certificación de usuarios. Lamentablemente, la autentificación de dos factores para MSSQL puede ser un problema y hoy por hoy no existe una solución simple. Sin embargo, es posible asegurarse de que sólo aquellas máquinas autorizadas se conecten a servidores SQL filtrando todo elemento externo a través del cortafuegos.
Si se siguieran estos simples consejos, Internet sería un lugar mucho más seguro para disfrute de todos.
1 Kaspersky Security Bulletin, January – June 2006: Internet Attacks
Autores
Kaspersky Security Bulletin 2006. Ataques Internet: 2006