Все новости от 17 марта 2005 г. Бот-сети опираются на Windows
Несмотря на взятый Microsoft курс на повышение безопасности, недавнее исследование показывает, что подавляющее большинство компьютеров, образующих бот-сети, это машины Windows XP и 2000.
Исследование, выполненное немецкой организацией Honeynet Project, обнаружило, что свыше 80% веб-трафика, источником которого служат сети из взломанных компьютеров, проходит через четыре порта, предназначенных для обмена ресурсами между разными версиями Windows. Оно показало также, что уязвимости, которые некоторые эксплойты используют для взлома ПК, можно обнаружить методом поиска информации в секьюрити-бюллетенях Microsoft.
«Большая часть активности на этих портах, безусловно, вызвана системами с Windows XP (часто с установленным Service Pack 1), а на втором месте стоят системы Windows 2000. За ними с большим отставанием следуют системы Windows 2003 или Windows 95/98», — говорится в отчете Honeynet Project.
Microsoft ответила на это, в очередной раз повторив, что она стремится обеспечить безопасность платформ перед лицом атак со стороны бот-сетей, за которыми часто стоят преступные группы.
«Создание ИТ-угроз и кража данных является уголовным преступлением, которое затрагивает всех. Этот тип преступной деятельности обычно имеет финансовую мотивацию, и преступники часто нацеливаются на платформу Microsoft и ее приложения ввиду обширной клиентской базы, — говорится в заявлении компании. — Однако это серьезная проблема для всей отрасли, и ни одна организация не застрахована от данной угрозы».
Наиболее интенсивно эксплуатируемыми портами Windows, согласно исследованию, являются порты 445/TCP (используется для обмена файлами); 139/TCP (используется для подключения к машине с целью обмена файлами); 137/UDP (используется для поиска информации на других компьютерах) и 135/TCP (используется для дистанционного исполнения кода).
Бот-сети обычно применяются для атак на отказ в обслуживании (denial-of-service), когда целевой компьютер перегружается данными и перестает работать. Кроме этого, они применяются для распространения спама, шпионского ПО, манипуляции онлайновыми опросами и массовой кражи идентификационных данных.
С начала ноября 2004 года по конец января 2005 года исследователи наблюдали 226 атак denial-of-service, направленных против 99 разных целей. Наблюдая за 100 бот-сетями в продолжение четырех месяцев, они зафиксировали 226 585 IP-адресов, участвовавших по крайней мере в одной из наблюдаемых бот-сетей.
Предыдущие публикации:
|
|
| Matros 18 Mar 2005 11:49 AM |
Можно говорить что угодно, но, судя по цифрам, 95\98 гораздо секьюрнее, чем XP. :) |
|
| Sun-ch 18 Mar 2005 12:25 PM |
Хех, а кто бы сомневался. Windoze - хакерский рай. |
|
| Zhou 18 Mar 2005 1:12 PM |
А Linux - ад? И для хакера и для пользователя? |
|
| vIv 18 Mar 2005 1:41 PM |
представляю себе рутшелл, заранее знающий все возможные версии и все возможные места расположения всего, что необходимо :-)) hint: *NIX-подобные ОС в руках поклонника перестают напоминать родной дистрибутив уже через день примерно. |
|
| Поручик 18 Mar 2005 2:51 PM |
2 Matros Дело не в секьюрности, а в распространенности. Небольшая уязвимость размноженная миллионными тиражами страшнее грубой дыры в малораспространенной системе. |
|
| Sun-ch 18 Mar 2005 3:31 PM |
"преступники часто нацеливаются на платформу Microsoft и ее приложения ввиду обширной клиентской базы, — говорится в заявлении компании" Наглая ложь. Основная причина - легкость автоматизации процедуры взлома. |
|
| добрый 18 Mar 2005 5:31 PM |
2{257CDF4E-1DCB-4b75-8FC7-3D7D13903CC3}Ж Не дождетесь! microsoft.com надежно прикрыт юнихом :) |
|
| МММ 19 Mar 2005 3:25 PM |
2 добрый Если ты только что вылупился из гнезда, то не торопись пороть чушь Может за умного сойдешь. |
|
| A 19 Mar 2005 9:21 PM |
2 vlv: > hint: *NIX-подобные ОС в руках поклонника перестают напоминать родной дистрибутив > уже через день примерно. Через 2 часа с момента начала установки :) - 2 MMM: Он, между прочим, не так далек от истины, как кажется :) Вот старенькая новость: http://news.netcraft.com/archives/2003/08/17/wwwmicrosoftco m_runs_linux_up_to_a_point_.html А если проследить трассу до одного из серверов MS, например тот же microsoft.com (207.46.130.108), то по дороге можно увидеть некоего "microsoftOC48-shadow-gw.customer.alter.net (208.214.136.242)". Пинги за него не уходят, а у самого ttl=246. Это ближе к BSD-системам, чем к Win (на 9x, 2k и XP умолчательный TTL=128). |
|
| Chkalofff 20 Mar 2005 10:04 PM |
то, что ms много лет пользуется услугами akamai - это не секрет. странно только что сейчас их нет в списках клиентов http://www.akamai.com/en/html/about/customers.html то, что ms находиться на за юниксом - вопрос относительный. разумеется по пути следования пакета от пользователя до сайта ms встречаются различные юниксы и киски, но это нечего не значит. доказательства того, что конечный firewall на сайте ms - это юникс, я думаю нет ни у кого. |
|
| Zzz.. 21 Mar 2005 1:06 AM |
2A: сразу после окончания установки ХР, не патченная, закрыта файрволлом :) Впрочем, от дурного пользователя, тянущего себе на машину всякую дрянь из интернете, аки дитя малое - руки в рот, ничего не спасет. Из админской: "Иногда люди делают дерьмо. Но если они хотят сделать настоящее дерьмо - они берут компьютер" (в оригинале, на немецком, звучит лучше) :) |
|
| A 21 Mar 2005 5:19 AM |
2 Chkalofff: > разумеется по пути следования пакета от пользователя до сайта ms встречаются > различные юниксы и киски, но это нечего не значит. Вот потому я и взял последний, который был перед зоной msn.net. Сочетание символов "-gw." в адресе обычно указывает на провайдерский шлюз до конкретного клиента. Это подтверждается еще и тем, что этот хост находится в зоне alter.net - провайдер, если верить его сайту. Ну и слово "customer" вкупе со всем остальным наводит на размышления. > доказательства того, что конечный firewall на сайте ms - это юникс, я думаю нет ни у кого. Логично. Во-первых, если такая информация станет достоверной (а рано или поздно таки стала бы, если бы это так и было), то это был бы нехилый удар по заявлениям про безопасность. Во-вторых, зачем самим напрягаться, если это за тебя сделает провайдер :) - 2 Zzz.. > сразу после окончания установки ХР, не патченная, закрыта файрволлом :) Угу. Тогда почему она работает с локалкой ? И не патченая - это с SP2 или всё же оригинал ? :) |
|
| Chkalofff 22 Mar 2005 12:32 AM |
>Логично. Во-первых, если такая информация станет достоверной (а >рано или поздно таки стала бы, если бы это так и было), то это был > бы нехилый удар по заявлениям про безопасность. Во-вторых, зачем >самим напрягаться, если это за тебя сделает провайдер :) Последнее не логично. Веб сайт МС выдерживает возможно самое большое число попыток взлома. Доверять исключительно какому-то внешнему firewall'у провайдера было бы глупо. Скорее всего у них там установленна собственная защита, причем защита по портам - это только часть их защиты. |
|
| A 22 Mar 2005 3:45 AM |
> Доверять исключительно какому-то внешнему firewall'у провайдера было бы глупо. Исключительно - глупо. Но поставить дополнительную стенку, которая была бы не подвержена win-атакам очень даже полезно. Поскольку самим держать *nix-сервер в качестве одного из бастионов как-то не престижно, то воспользоваться услугами прова - вполне логичный шаг. Можно смело заявлять: "Это не мы. Это всё они делают. А мы - обычные пользователи". |
|
| tstone - saldomail.ru 22 Mar 2005 7:54 AM |
Был же у них как-то ляп на эту тему. Решили они открыть специальный сайт на тему "как хорошо переходить с SUN на Wintel", а потом выяснилось, что этот сайт на BSD с Апачем крутится. Та еще была пенка :-)
|
|
| Alexander S. 22 Mar 2005 6:53 PM |
Никто как-то не сообразил, что раз 80% ботов "опираются на Windows" (90% домашних компов), то 20% ботов "опираются" на оставшиеся 10% не-Виндовых компов. Вот такая арифметика. Это примерно как вопли пингвинов о том, что ими Интернет держится- пока не оказалось, что Линуховых-то веб-серверов в Инете процентов 10, а остальной Апач на BSD да юниксах разных прочих и даже на Виндах бежит. |
|
| Tolik 23 Mar 2005 8:57 AM |
Гм. Статистика - наука тонкая ... 80% пораженных машин - Windows Значит 20% - что-то другое (наверно не DOS) Учитывая статистику распространенности - однако процент захваченых врагами Win-мащин должен быть в разы меньше, чем процент машин под другими ОС. Типа как - во время сражения под Прохоровкой - было подбито 1000 танков и 50 грузовиков. Из этого делаем вывод, что танк защищен куда хуже грузовика. Кстати о файрволле. А если бы и пользуется? Вот, фирма Феррари наверняка для перевозки грузов не использует свои автомобили - и что? Это значит, что они плохие? Всё-ж таки один из самых больших и атакуемых сайтов в мире ... Тут можно подбирать инструментарий под проект и вроде как - совсем не обязательно, чтобы он был собственного изготовления. |
|
| fi 23 Mar 2005 9:09 AM |
Да, совсем деградирует АС. уже читать разучился, там всего лишь сказано, что в 80% изпользуется 4 порта, а остальные 20% другие порты (на том же Windows ;-)))) Ты наверно так же и про покупку/продажу дома слышал -D. |
|
| Tolik 23 Mar 2005 9:11 AM |
А по любому - из этой статистики (не приводя доли зараженных машин) никаких выводов сделать не получается Кроме тех, которые хочется придумать. |
|
| Alexander S. 23 Mar 2005 9:47 PM |
Ну кроме статистики, Tolik, есть ещё и сам документ, и в нём кроме ботов под Windows обсуждаются вот такие боты присутствующие в Интернете: Agobot is the only bot that utilized a control protocol other than IRC. Furthermore, the Linux version is able to detect the Linux distribution used on the compromised host and sets up a correct init script. Q8 Bots Q8bot is a very small bot, consisting of only 926 lines of C-code. And it has one additional noteworthiness: It's written for Unix/Linux systems. kaiten This bot is also written for Unix/Linux systems. Perl-based bots There are many different version of very simple based on the programming language Perl. These bots are very small and contain in most cases only a few hundred lines of code. They are used on Unix-based systems. Так что как видите, зверинец тоже порядочный. Хотя точный процент, разумеется, неизвестен. |
|
| Alexander S. 23 Mar 2005 9:57 PM |
Точно, fi, если бы ты почитал документ, то обнаружил бы там слова Linux и UNIX в неприглядном сочетании со словом bot. Но так как ты не читал, то опять вляпался в дерьмо как и со своим абсолютно бредовым постингом про покупку/продажу дома. От тебя я такого ожидал.:) |
|
| A 24 Mar 2005 12:27 AM |
> These bots are very small and contain in most cases only a few hundred lines of code. Это называется "очень маленький бот на перле" ? Несколько сотен строк кода ? И кто ж его далал-то ? Кому никогда не задавать вопросов по перлу ? :) |
|
| Alexander S. 24 Mar 2005 12:39 AM |
2 A, А чему вы, собственно говоря, радуетесь? Тому, что боты под UNIX/Linux являются уделом любителей, в то время как боты под Windows- дело рук профессионалов? Я бы этому не радовался, я бы задумался а что произойдёт когда Линукс победит на десктопе (при жизни нашего поколения- уж точно:) и боты для него станут делать профессионалы. Да и я бы ещё и задумался, кто это у нас inherently more secure, если корявый перловый код- это всё, что нужно чтобы Линуксовый комп ботать начал.:) |
|
| Волонтер 24 Mar 2005 1:19 AM |
2 Alexander S.: > в то время как боты под Windows- дело рук профессионалов? Спецов по Visual BASIC? Первая нормальная ОС от MS это Win2K, первая более или менее защищенная ОС это Windows 2003, напомните мне, когда MS DOS 1.0 вышел? Linux тинэйджер по сравнению с MS или хотя бы BSD. |
|
| fi 24 Mar 2005 3:07 PM |
> слова Linux и UNIX в неприглядном сочетании со словом bot. Проценты, парниша, проценты в студию!!! Или хотя бы число инстоляций. Ты уже много заработал на перепродажи заложеной недвижемости? Что бы подтвердить свой бред.
|
|
| A 24 Mar 2005 3:48 PM |
2 Alexander S.: > А чему вы, собственно говоря, радуетесь? Тому, что боты под UNIX/Linux являются > уделом любителей, в то время как боты под Windows- дело рук профессионалов? Ну для начала, меня просто повеселил объем программы на перле, если уж на обычном баше народ от нефиг делать написал http-сервер и компилер ассемблера :) А потом, если кто не в курсе, профессионалов среди вирмейкеров единицы, если под словом "вирмейкер" подразумевать всех людей, которые пускали всякие вири в мир последние лет пять. 99% вирей, червей, троянов и всего остального клепается прыщавыми юнцами с помощью программ-генераторов на основе уже известного кода. Такие программы были еще в прошлом веке под DOS. Это не мое имхо. Если покопаться в новостях, об этом Касперский еще год назад говорил. > Да и я бы ещё и задумался, кто это у нас inherently more secure, если корявый перловый > код- это всё, что нужно чтобы Линуксовый комп ботать начал.:) Задумайтесь лучше на тему отсутствия каких-либо знаний и наличия только компутера с монитором, мышью, win и программой-генератором, чтобы наклепать пару сотен вирей. Даже клавиатура не обязательна :) |
|
|