Kaspersky Security Bulletin janvier à juin 2006 : Attaques Internet

  1. Développement du malware
  2. Autres plateformes Win32. Situation sur le front des programmes malveillants
  3. Attaques Internet – panorama de la période janvier-juin 2006
  4. Programmes malicieux pour appareils nomades : les risques d’infection augmentent
  5. Courrier indésirable au 1er semestre 2006

Dans le rapport précédent de Kaspersky Lab, nous nous sommes penchés sur les attaques les plus populaires menées via Internet en 2005 et nous les avons ventilées par pays d’origine. Suivait également un aperçu de l’évolution de certains des codes malveillants les plus utilisés tout au long de l’année et nous avions conclu ce rapport en affirmant que la Chine était le pays d’origine ade plus de 38% des attaques de codes malveillants pouvant se reproduire.

Dans les pages qui suivent, nous allons vous offrir une analyse des attaques interceptées par le réseau Smallpot (Pot de miel) au cours du premier semestre 2006. Nous nous pencherons également sur la répartition de ces attaques en fonction de l’adresse IP et du pays d’origine et nous tenterons de voir si la situation a connu de grands bouleversements depuis 2005. La dernière partie de cet article est consacrée à certains des correctifs diffusés au cours des six premiers mois de 2006 qui pourraient avoir un impact sur l’évolution des attaques Internet et des codes malveillants. Nous terminerons ce rapport par des prévisions.

Statistiques

Top 20 des sondes et des attaques Internet au cours du premier semestre 2006

Classement % du total Òype Nom Bulletin Evolution
1 37,39 sonde HTTP GET Generic
2 12,72 sonde FTP +17
3 9,28 Exploit Débordement de mémoire dans l’interface Microsoft RPC MS03-026 +7
4 9,20 ver Slammer.A MS02-039
5 4,07 ver Lupper CVE-2005-1921, CVE-2005-0116, CVE-2005-1950 entrée
6 3,90 ver Blaster MS03-026 +6
7 3,81 sonde Webdav MS03-007 -2
8 3,77 sonde Radmin -6
9 3,27 sonde SSH bruteforce -1
10 2,27 sonde MSSQL -4
11 2,22 exploit Microsoft ASN.1 MS04-007 -2
12 0,87 exploit WINS MS04-045 +6
13 0,80 sonde HTTP CONNECT -3
14 0,44 exploit Microsoft SQL Server 2000 Resolution Service MS02-039 -7
15 0,22 ver Dabber   +1
16 0,13 ver Dameware VU#909678 -2
17 0,12 sonde Dipnet   -14
18 0,11 sonde Kuang backdoor execute command entrée
19 0,09 sonde HTTP HEAD Generic entrée
20 0,09 sonde SSL Handshake entrée

Top 20 des sondes et des attaques Internet au cours du premier semestre 2006

Alors que le volume de courrier indésirable envoyé via Internet ne montre aucun signe d’affaiblissement, il est normal que la sonde HTTP GET generic soit toujours en tête du classement. En fait, nous avons observé une augmentation de plus de 5% du nombre de sondes. Cette tendance indique que la recherche de serveurs proxy ouverts qui pourront servir ultérieurement à l’envoi de courrier indésirable est une activité qui est toujours populaire car rentable.

Les tentatives de connexion FTP anonymes viennent en deuxième position. Elles marquent une progression de 17 places depuis l’année dernière et comptent maintenant pour plus de 12% du total du nombre de sondes et d’attaques. Dans la majorité des cas, ces sondes sont produites par des outils automatisés dont le but est de trouver des sites FTP qui peuvent servir au téléchargement et au partage de logiciels piratés.

Blaster, qui exploite la vulnérabilité détaillée dans le bulletin de sécurité MS03-026 de Microsoft (débordement de la mémoire tampon dans l’interface RPC), gagne pas moins de 7 places. Cela s’explique par l’augmentation du nombre de bots (Rbot et les variantes IRCbot) qui utilisent des codes d’exploitation pour cette vulnérabilité. Leur code source et les codes d’exploitation MS03-26 faciles à utiliser sont largement répandus. Ces bots exploitent plusieurs vulnérabilités mas il s’agit certainement de la plus populaire même si elle a déjà trois ans.

Slammer, le ver MSSQL apparu en janvier 2003, se propage toujours activement et certains rapports semblent même indiquer qu’il est en augmentation. Représentant 9,2% du total, ces attaques constituent un bruit de fond sur Internet : un ordinateur pris au hasard et connecté à Internet sera attaqué au moins une fois par jour par Slammer.

En cinquième position, nous retrouvons Lupper, un ver Linux assez récent qui remonte à novembre 2005 mais qui a pris un certain temps avant de se diffuser sur Internet. Ce ver, qui utilise divers codes d’exploitation ciblant des bibliothèques et des scripts PHP/CGI, représente 4% de tous les rapports reçus au cours du premier semestre 2006.

Mois % du total
janvier 62,73
février 23,24
mars 5,75
avril 1,65
mai 0,20
juin 6,44

Attaques de Net-Worm.Linux.Lupper.a (et variantes)
Jan-Jun, 2006

Comme l’indiquent les données du tableau ci-dessus, la majorité des attaques imputables à ce ver a eu lieu en janvier et en février et il s’est fait plus rare au cours des mois suivants. Le regain d’attaques en juin s’explique par l’évolution de nouvelles versions capables d’utiliser les codes d’exploitation récemment découverts.

Il est intéressant de constater que l’expansion du débordement de la mémoire tampon dans l’interface RPC s’est accompagné d’une plus grande diffusion du ver Blaster et cette diffusion via Internet est toujours d’actualité. Bien qu’il soit moins fréquent que Slammer, Blaster constitue toujours près de 4% de toutes les attaques.

Les attaques Webdav (MS03-007) menées par des bots et des utilitaires de piratage, sont en recul de deux places. Ces attaques sont assez anciennes et réussissent probablement moins bien maintenant que par le passé. On peut toutefois toujours les trouver dans des vers récents qui exploitent des vulnérabilités plus récentes.

Les attaques Radmin sont en recul de 6 places par rapport à la troisième position qu’elles occupaient dans le classement de 2005. Le recul de ces attaques devrait se poursuivre vu que des correctifs de sécurité sont diffusés pour les versions vulnérables du logiciel et que des versions plus récentes sont déployées.

En neuvième et dixième position, nous retrouvons les attaques par force brutale sur les mots de passe SSH et les tentatives de handshake MSSQL (suivies en général par des tentatives de connexion par force brutale). Ces deux méthodes d’intrusion dans un système ne sont pas très efficaces et elles sont en général utilisées de façon ciblée et non pas à grande échelle. Bien sûr, dès que l’attaquant a découvert que le système exploite un serveur SSH ou MSSQL, il peut lancer une attaque sur le mot de passe sur la base d’un dictionnaire pour les comptes communs comme « root » ou « SA ».

Les codes d’exploitation Microsoft ASN.1 sont également en recul d’environ 0,5% et perdent deux places. Par le passé, ces codes d’exploitation étaient attribués aux variantes Rbots et les variantes Rbot Bozori.c sont toujours en circulation. Mais Bozori.c a pratiquement disparu, ce qui explique la réduction du nombre d’attaques.

D’un autre côté, les attaques WINS plus récentes sont plus répandues de nos jours. Ces attaques sont utilisées principalement dans des vers de réseau.

Les sondes qui recherchent les portes dérobées installées par le ver Dipnet ont connu le déclin le plus marqué en passant de la troisième à la dix-septième place. Dans la mesure où Dipnet a été plus ou moins éradiqué en automne 2005, les chances de trouver une machine toujours infectée par ce ver sont assez minces. Les spammeurs qui recherchaient ces machines à l’aide d’outils automatisés ont certainement revu leur stratégie.

Le Top 20 du premier semestre 2006 compte quatre nouvelles entrées. En plus de Lupper, nous avons intercepté un nombre accru de sondes cherchant la porte dérobée Kuang ainsi que des requêtes HTTP HEAD et des requêtes de handshake SSL. L’augmentation du nombre de sondes est due aux vers qui peuvent se reproduire en infectant des machines déjà infectées par la porte dérobée ; les deux autres sondes sont des sondes traditionnelles de « demande d’informations ».

Top 10 des vulnérabilités exploitées dans les attaques via Internet

Classement Bulletin de sécurité Description
1 MS03-026 Le débordement de la mémoire tampon dans l’interface RPC pourrait permettre l’exécution d’un code
2 MS02-039 Débordement de la mémoire tampon dans SQL Server 2000
Le service résolution pourrait permettre l’exécution d’un code
3 MS03-007 Un tampon non vérifié dans Windows Component pourrait
compromettre le serveur
4 MS04-007 ASN.1 pourrait permettre l’exécution d’un code
5 CVE-2005-1921 vulnérabilité d’injection dans PEAR XML_RPC 1.3.0 et antérieur
(alias XML-RPC ou xmlrpc) et PHPXMLRPC
(alias XML-RPC For PHP ou php-xmlrpc) 1.1 et antérieur
6 CVE-2005-0116 AWStats 6.1 et les autres versions avant 6.3 permettent
à un attaquent d’exécuter des commandes arbitraires
via les métacaractères shell dans le paramètre configdir
7 CVE-2005-1950 hints.pl in Webhints 1.03 permet à des attaquants à distance
d’exécuter des commandes arbitraires via
des métacaractères shell dans l’argument.
8 MS04-045 Vulnérabilité dans WINS pourrait
permettre une exécution de code à distance
9 VU-909678 DameWare Mini Remote Control vulnérable
à un débordement de mémoire tampon via des paquets conçus spécialement
10 MS03-051 Débordement de la mémoire tampon dans Microsoft FrontPage Server
Extensions pourrait permettre une exécution du code

Top 10 des vulnérabilités exploitées
au cours des attaques Internet de janvier à juin 2006

Par rapport à l’année dernière, nous avons observé une augmentation du nombre de tentatives d’exploitation des vulnérabilités dans les systèmes d’exploitation et les produits autres que Microsoft. Il faut noter certaines des vulnérabilités exploitées par Lupper qui ont fait leur entrée au classement en cinquième, sixième et septième positions.

La vulnérabilité la plus exploitée dans les attaques Internet au cours du premier semestre 2006 est le débordement de mémoire tampon dans l’interface RPC, présentée dans le bulletin de sécurité de Microsoft MS03-026 et mieux connue comme étant la vulnérabilité exploitée par Blaster.

Le classement de MS 03-026 et MS03-007 a changé depuis notre dernier rapport mais elles sont toujours toutes les deux très exploitées.

La dernière différence notable, c’est l’entrée à la dixième place de MS03-051. Le bulletin de sécurité intitulé « Buffer Overrun in Microsoft FrontPage Server Extensions Could Allow Code Execution (813360) » propose les liens vers les mises à jour de sécurité requises pour protéger les machines vulnérables.

Dans l’ensemble, il faut signaler que toutes les vulnérabilités du Top 10 avaient été détectées avant 2006. Cela ne signifie pas que de nouvelles vulnérabilités ne sont pas exploitées. Cela veut dire simplement qu’elles ne sont pas exploitées à grande échelle.

Top 20 des ports utilisés dans les attaques Internet

Classement % du total Port
1 34,85 445
2 24,99 1026 (UDP)
3 17,89 80
4 5,07 1027 (UDP)
5 3,72 1025 (UDP)
6 3,09 21
7 2,64 135
8 2,63 1434 (UDP)
9 1,68 1433
10 0,89 4899
11 0,79 22
12 0,54 4444
13 0,31 3128
14 0,26 42
15 0,11 5554
16 0,11 6588
17 0,08 443
18 0,04 6129
19 0,03 17300
20 0,03 3127

Top 20 des ports utilisés dans les attaques Internet
entre janvier et juin 2006

Le Top 20 des ports utilisés dans les attaques Internet a prouvé par le passé son utilité en tant que source d’informations valables sur les vulnérabilités les plus recherchées par les pirates et les cyber-criminels. En 2005, des balayages des ports tentaient d’exploiter les machines tournant sous Windows avec le port 445 comme cible principale. Rien d’étonnant à ce que les sondes sur le port 445 occupent toujours la première place pour le premier semestre. Nous avions attiré l’attention du lecteur sur ce point dans le rapport précédent et nous étions parvenus à la conclusion que la majorité des attaques par Internet ciblaient des versions de Windows très anciennes ou des vulnérabilités très récentes qui n’avaient pas été rectifiées.

Nous pouvons observer une augmentation intéressante du nombre de sondes et d’attaques sur les ports 1025, 1026 et 1027. Ces ports sont utilisés par les spammeurs pour envoyer des messages Windows Messenger Service. Bien que ces ports soient bloqués par défaut dans les versions les plus récentes de Windows, ils sont toujours une cible de prédilection vu le nombre important d’ordinateurs tournant sous Windows 2000 et Windows XP sans SP2.

Les attaques sur le port 80 se maintiennent à un niveau plus ou moins constant. Le pourcentage s’explique par la recherche de serveurs proxy ouverts comme indiqué ci-dessus. Il est intéressant de signaler que dans certains cas, les machines Smallpot ont été touchées par des robots de moteurs de recherche qui semblent envoyer des sondes au hasard vers des adresses IP sur Internet. Dès qu’un serveur Web a été identifié, le spider du moteur de recherche tente d’obtenir la page index et puis tout le site. C’est la raison pour laquelle les personnes qui installent des serveurs Web sur leur ordinateur personnel découvrent que l’adresse de leur site est reprise dans les principaux moteurs de recherche alors qu’ils n’ont publié cette adresse nulle part.

Le nombre de sondes du port 21 (FTP) est en augmentation de 12 places. Comme nous l’avons expliqué au chapitre précédent, FTP est devenue une cible populaire pour les outils qui recherchent des sites qui pourraient servir à la diffusion de logiciels piratés. Cette activité, et l’augmentation correspondante, est à mettre en rapport direct avec l’augmentation de la cyber-criminalité, et plus particulièrement la criminalité sur Internet.

Répartition géographique des attaques Internet et des sondes

Classement Pays % du total
1 Etats-Unis 40,60
2 Chine 17,22
3 Philippines 4,58
4 Allemagne 4,14
5 Canada 2,63
6 France 2,61
7 Royaume-Uni 2,25
8 Japon 2,14
9 Corée du Sud 2,09
10 Russie 1,77
11 Hong-Kong 1,63
12 Pays-Bas 1,32
13 Taiwan 1,22
14 Espagne 0,74
15 Mexique 0,73
16 Italie 0,69
17 Norvège 0,67
18 Australie 0,66
19 Suède 0,62
20 Belgique 0,42

Répartition géographique des attaques Internet et
des sondes de janvier à juin 2006

En 2004, les Etats-Unis étaient la principale source des sondes et des attaques que nous interceptions. Cette situation a changé en 2005 lorsque la Chine a dépassé les Etats-Unis de plus de 6%. Nouveau renversement de situation cette année où l’on observe 40,6% de toutes les attaques en provenance des Etats-Unis. 17,22% des attaques proviennent de Chine; Il s’agit d’un petit recul en termes de pourcentage et il n’est pas dû à la réduction du nombre d’attaques de Chine mais bien à l’explosion du nombre d’attaques en provenance des Etats-Unis.

La Corée du Nord est passée de la troisième place l’année dernière à la neuvième cette année. Elle a cédé sa troisième place aux Philippines. L’Allemagne se caractérise aussi par une tendance à la croissance : par rapport à l’année dernière, nous avons intercepté en moyenne trois fois plus d’attaques originaires d’Allemagne.

La France se fait également remarquer en passant à la sixième place, depuis la quatorzième occupée l’année dernière. La Russie quant à elle chute de la sixième à la dixième place.

Inutile de dire que le changement significatif restera l’augmentation sensible du nombre d’attaques et de sondes depuis les Etats-Unis. L’ampleur de l’augmentation nous a surpris. Au cours de la période étudiée pour le rapport précédent, la réduction du nombre d’attaques en provenance des Etats-Unis s’expliquait par la popularité des solutions de sécurité informatique et des lois plus strictes en matière de cyber-criminalité. Le renversement de la vapeur observé au cours du premier semestre 2006 est très décourageant.

Le nombre d’attaques associées à un code malveillant spécifiques en provenance des Etats-Unis a également augmenté sensiblement. A titre d’exemple, le tableau ci-après montre la répartition géographique des machines infectées par les variantes de Lupper au cours des six premiers mois de 2006.

Classement Pays % du total
1 Etats-Unis 29,71
2 Allemagne 9,97
3 Chine 7,87
4 France 5,83
5 Japon 4,42
6 Taiwan 4,27
7 Italie 3,99
8 Pologne 2,78
9 Espagne 2,78
10 Mexique 2,73

Classement des pays en fonction de l’infection
par Net-Worm.Linux.Lupper.a (et ses variantes)

Par le passé, la majorité des machines infectées par le code malveillant de réseau se trouvait en Chine. La situation actuelle est radicalement différente. Près d’un tiers de toutes les infections détectées causées par Lupper proviennent des Etats-Unis. Ce chiffre est très élevé. Des pays comme la Pologne, le Japon et l’Allemagne ont toujours montré des signes d’infections pour Linux car ce système d’exploitation semble être très prisé dans ces pays. La Chine occupe la troisième place avec 7,87% mais en général les cas de code malveillant pour Linux sont assez rares ; la majorité des attaques à l’aide de code malveillant originaires de Chine sont causées par Slammer. Le tableau suivant l’illustre clairement :

Classement Pays % du total
1 Chine 71,77
2 Etats-Unis 5,47
3 Japon 4,93
4 Royaume-Uni 1,29
5 Hong-Kong 1,15
6 Inde 1,10
7 Taiwan 1,07
8 Brésil 0,52
9 Suède 0,48
10 France 0,44

Top 10 des pays par infections Slammer

Par rapport à l’année dernière, on note que, à l’exception de la Chine avec 71,77% d’infections, le virus a pratiquement disparu du reste du monde.

Correctifs importants

Comme le montrent les informations ci-dessus, nous sommes parvenus à un stade de la sécurité informatique où les vulnérabilités récentes sont rarement exploitées à grande échelle. Il y a eu quelques exceptions notables, mais dans ce cas il s’agit de vulnérabilités exploitées par des vers qui utilisaient la faille pour se multiplier. La grande majorité de ces vers a été créée pour engranger un profit.

Il ne faut toutefois pas sous-estimer l’importance des correctifs et des services packs qui doivent être installés le plus tôt possible après leur publication pour réduire la durée de l’exposition au risque. Au cours de ces trois dernières années, Microsoft, par le biais de la Trusted Computing Initiative, s’est concentré non seulement sur la suppression des problèmes de sécurité dans Windows et d’autres produits mais également sur la publication plus rapide des correctifs de sécurité. Dans la mesure où le Top 10 des vulnérabilités exploitées dans les attaques Internet ne contient aucune vulnérabilité identifiée en 2006, nous pouvons penser que Microsoft a choisi la bonne tactique.

Un certain nombre de problèmes de sécurité graves ont été identifiés dans les logiciels de Microsoft au cours des six premiers mois de l’année (« graves » dans ce cas se rapporte à des vulnérabilités qui peuvent être exploitées à distance et déboucher sur une exécution arbitraire de code). Les vulnérabilités les plus exploitées jusqu’à présent sont sans conteste les failles identifiées dans divers logiciels de la suite Microsoft Office tels que Word ou PowerPoint. Des codes d’exploitation pour ces vulnérabilités sont en circulation. Les vulnérabilités sont présentées dans le bulletin de sécurité MS06-027 de Microsoft intitulé “Vulnerability in Microsoft Word Could Allow Remote Code Execution (917336) » ainsi que dans les bulletins MS06-028 et MS06-012.

Des vulnérabilités exploitables à distance ont également été signalées dans diverses versions de Windows. La vulnérabilité TCP/IP décrite dans le bulletin de sécurité de Microsoft MS06-032 est peut-être la plus grave d’entre elles. Il faut toutefois noter que la fonction IP Source Routing doit être activée pour pouvoir exploiter la vulnérabilité. Cette fonction est désactivée par défaut dans Windows XP Service Pack 2 et Windows Server 2003 Service Pack 1. Une autre vulnérabilité critique est présentée dans le bulletin de sécurité de Microsoft MS06-05 intitulé « Vulnerability in Routing and Remote Access Could Allow Remote Code Execution (911280) ». Un utilisateur malveillant à distance qui parviendrait à exploiter cette vulnérabilité pourrait prendre les commandes du système de la victime.

Pour réparer les systèmes touchés, rendez-vous sur http://update.microsoft.com et veillez à activer les mises à jour automatiques.

S’agissant des systèmes Linux, le nombre de vulnérabilités critiques au niveau du système identifiées en 2006 est faible. Mis à part les problèmes de configuration, les cas récents de systèmes Linux compromis sont imputables à des bogues dans des bibliothèques et des logiciels tiers comme ‘sendmail’. Une vulnérabilité sérieuse a été identifiée dans ‘sendmail’ en mars de cette année et présentée en détail dans le Secunia Security Advisory. Toutes les distributions modernes de Linux sont dotées d’un utilitaire de mise à jour automatique tel que yum qui permet de télécharger et d’installer les correctifs de sécurité les plus récents pour les paquets enregistrés dans le système.

Comme notre rapport consacré à Mac OS X l’indiquait, ce système d’exploitation possède également des vulnérabilités. Heureusement, Mac OS X se tient à jour lui-même par défaut mais les utilisateurs doivent toutefois veiller à ce que le système d’exploitation soit configuré pour rechercher les mises à jour le plus souvent possible à l’aide de Préférences système -> Mise à jour de logiciels -> Rechercher automatiquement les mises à jour -> Quotidiennement Une mesure de sécurité complémentaire consiste à cocher la case « Télécharger en tâche de fond les mises à jour importantes ».

Conclusion

L’analyse des données recueillies au cours du premier semestre 2006 nous permet de tirer deux conclusions évidentes.

Tout d’abord, le nombre d’attaques originaires des Etats-Unis a connu une augmentation sensible. Cette augmentation est due à la réduction des montants dépensés pour les solutions de sécurité mais aussi à l’évolution de nouveaux types d’attaques qui exploitent les failles de ces solutions. Une autre conclusion est que les sociétés n’ont pas investi autant pour la protection de leurs machines Linux que pour celle de leurs ordinateurs Microsoft. Ceci s’explique peut-être par le faux sentiment de sécurité qui semble être répandu chez les utilisateurs de systèmes *nix. Quelle que soit la cause, il semblerait que les administrateurs de système n’ont pas tenu leurs ordinateurs à jour comme il l’aurait fallu. Ceci est une constatation évidente lorsque l’on sait que les Etats-Unis abritent un tiers de tous les ordinateurs infectés par un code malveillant exploitant des vulnérabilités récentes dans des bibliothèques et des outils PHP populaires. Heureusement, la majorité de ces machines ont été actualisées maintenant. Toutefois, il faut noter que Lupper (et ses variantes) fut le deuxième ver de réseau le plus répandu au cours des six premiers mois de l’année 2006.

La deuxième conclusion plus importante prend la forme d’une confirmation de la tendance que nous avions signalée en 2004 : la cyber-criminalité est en hausse. Notre analyse des données présentées dans ce rapport et celles d’autres données relatives à la période indique clairement que de plus en plus de ressources sont investies pour gagner de l’argent illégalement via Internet, qu’il s’agisse de la diffusion de courrier indésirable ou de la vente de logiciels piratés ou d’autres articles volés. Pour l’instant, la majorité des individus impliqués dans ces activités semblent être établis aux Etats-Unis, mais la cyber-criminalité n’a pas de frontière. Il s’agit d’un phénomène mondial.

Dans notre précédent rapport nous avions dit que les attaques liées à la diffusion de courrier indésirable continueraient à augmenter. Les données présentées ici le confirment. On observe également l’émergence d’un nouveau type d’attaque, liée une fois de plus à la cyber-criminalité: trouver des comptes FTP qui peuvent servir pour héberger gratuitement des codes malveillants, des logiciels piratés ou d’autres informations. Pour se protéger contre de telles attaques, il suffit en général d’installer les derniers correctifs, de posséder un pare-feu fiable et bien configuré et un logiciel antivirus. Enfin, il est vital de s’assurer que tous les comptes exposés à Internet sont dotés de mots de passe sûrs et que ces comptes sont toujours ouverts via des connexions sécurisées (SSL, SSH).

Kaspersky Lab va continuer à suivre la situation et à signaler les dernières tendances au niveau de la création de code malveillant, d’attaques Internet et de la cyber-criminalité. Cette série d’articles va se poursuivre avec Attaques internet 2006 qui examinera les données recueillies et analysées tout au long de l’année.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *