Nie ma wątpliwości, że grasujący od listopada robak Conficker (zwanym także Downadup lub Kido) stał się największym tego typu zagrożeniem z okresu ostatnich kilku lat. Kolejne doniesienia prasowe mówiły o ustalaniu następnych rekordów zarażonych komputerów, dochodzących nawet do kilkunastu milionów. Zdarzały się też optymistyczne wieści, że główną falę ataków mamy już za sobą. Poniżej podzielamy się naszymi obserwacjami dokonanymi przez system ARAKIS. Warto pamiętać, że system korzysta z rozproszonej sieci sensorów znajdujących się tylko na terenie Polski, więc informacje przez niego dostarczane można interpretować jako próbę zobrazowania sytuacji z punktu widzenia polskiego użytkownika systemu Windows.
Na początek krótkie wprowadzenie co to jest ten Conficker i jak się nim można zarazić? Robak (jego pierwsza wersja) pojawił się w listopadzie zeszłego roku i wykorzystywał lukę znajdującą się w mechanizmie obsługi zdalnych wywołań procedur RPC (biuletyn bezpieczeństwa Microsoft numer MS08-067). Pomimo wydania (i to jeszcze przed pojawieniem się robaka!) przez Microsoft poprawki, regularnie rosła liczba zainfekowanych komputerów. Początkowo robak propagował się tylko przez sieć (wykorzystując wspomnianą wyżej podatność i tylko ją) – przez porty 445 i 139 TCP. Jednak na początku stycznia twórcy robaka uzbroili go w nowe groźne funkcjonalności – Conficker.B (bo tak nazwano nową odmianę) próbuje dostać się do systemu ofiary poprzez udostępnione w sieci lokalnej zasoby, a gdy te są chronione, próbuje złamać hasło! Robak używa ataku słownikowego, więc podatne są nieskomplikowane hasła (przy okazji polecamy nasz poradnik “Jak skonstruować dobre hasło?“). Ponadto infekowane są przenośne pamięci, jak na przykład zewnętrzne dyski twarde, pendrive’y, odtwarzacze mp3 czy karty pamięci. Oznacza to, że zagrożone są także komputery mające załataną podatność opisaną w MS08-067. To wszystko sprawiło, że według naszych obserwacji przez pierwsze dwa tygodnie nowego roku potroiła się liczba zainfekowanych komputerów. Objawiło się to wyraźnym wzrostem ruchu (unikalne adresy IP) na ARAKISowych wykresach opisujących port 445/TCP dotyczących zarówno honeynetu, jak i firewalli czy darknetu (o źródłach z których korzysta ARAKIS można przeczytać w ARAKIS FAQ).
Wykres przedstawia aktywność zaobserwowaną tylko przez honeypoty. Oś rzędnych przedstawia liczbę unikalnych (niepowtarzalnych) adresów IP w 5-minutowym “oknie” czasowym. Dobowe wahania odzwierciedlają najprawdopodobniej pory dnia, w których najczęściej zarażone komputery były użytkowane (maksimum wypada w okolicach godziny 18 polskiego czasu, minimum między 1 a 8 rano).
Mniej więcej od połowy stycznia trend się “uspokoił”. Wprawdzie obserwujemy ciągły wzrost liczby zainfekowanych komputerów, lecz nie jest on już tak wyraźny. Oczywiście nie cała aktywność na porcie 445/TCP oznacza Confickera – są jeszcze inne robaki (jak np. Sasser), które ciągle propagują się przez ten port. Jednak liczba zarażonych nimi (łącznie) komputerów jest ok. kilkanaście razy mniejsza, niż hostów zainfekowanych Confickerem. W systemie ARAKIS wytworzyły się dwa klastry opisujące pierwszy etap nawiązania połączenia przez tego robaka (dokładnie negocjację SMB). Analizując statystyki dotyczące aktywności klastrów okazuje się, że ok. 70%-80% (dane z ostatniego tygodnia) wszystkich komputerów widzianych w honeynecie ARAKISa propagowało Confickera (klaster opisujący tego robaka jest na pierwszym miejscu zarówno pod względem ilości unikalnych źródłowych adresów IP, jak i ilości przepływów). Według obserwacji ARAKISa jest to więc obecnie największe zagrożenie, które rozprzestrzenia się drogą sieciową w sposób aktywny, a pamiętać należy, że to nie jedyna metoda propagacji tego robaka. Poniżej statystyki klastrów z ostatnich 24 godzin.
Można więc śmiało powiedzieć, że problem “epidemii” Confickera dotyczy także polskich użytkowników systemu Windows i Internetu. Ciekawe więc mogą być obserwacje ilości ataków widocznych w ARAKISie pochodzących z terytorium Polski. W rankingu TOP 10 państw, z których widoczne były próby ataku, Polska (na szczęście!) w ogóle nie występuje. Najwięcej połączeń (ok. 23%) pochodzi z terytorium Rosji, a następnie blisko siebie są Brazylia i Chiny (ok. 12%). Rozpatrując tylko polskich dostawców Internetu statystyki pokazują najwięcej połączeń z sieci takich providerów, jak TPNET, Netia, Dialog, Vectra, Multimedia. Są to więc m.in. najwięksi polscy dostawcy Internetu, przy czym im więcej klientów, tym więcej infekcji (co jest logiczne). Z powodu różnic w ilości klientów nie ma sensu pokazywać statystyk opisujących który provider ma najwięcej zarażonych komputerów. Można natomiast pokazać procentowy rozkład źródeł ataków na województwa. Najwięcej, bo aż ok. 50% widzianych w ARAKISie “polskich” ataków, pochodzi w województwa dolnośląskiego.
Podsumowując: pomimo stosunkowo niedużego udziału polskich IP w widzianych przez ARAKIS atakach, naszego państwa nie ominęła epidemia Confickera (w Internecie nie ma przecież granic). Polski Internauta jest jak najbardziej zagrożony. Nie obserwujemy także spadku liczby zainfekowanych komputerów – wręcz przeciwnie, liczba ta (choć wolniej niż przed miesiącem) stale rośnie, co widać na wykresach ruchu na porcie 445/TCP oraz w statystykach klastrów. Ruch generowany przez tego robaka jest naprawdę znaczący i – szczególnie słabszym łączom – może sprawiać trudności. Na koniec prosimy pamiętać, że sensory ARAKISa nie widzą wszystkiego. Niekoniecznie przytoczone powyżej dane muszą idealnie odzwierciedlać rzeczywistość w polskiej części Internetu, lecz ze względu na rozproszoną sieć sond jest to całkiem prawdopodobne. Wybrane dane systemu ARAKIS dostępne są publicznie na stronie www.arakis.pl.
Więcej ciekawych informacji na temat robaka Conficker można znaleźć:
- Centralized Information About The Conficker Worm, Microsoft Malware Protection Center
- Downadup: Attempts at Smart Network Scanning, Symantec Security Response Blog
- Downadup: Small Improvements Yield Big Returns, Symantec Security Response Blog
- MSRT Released Today Addressing Conficker and Banload, Microsoft Malware Protection Center
Artykuł opublikowany został również na blogu autora.
Dodaj komentarz