Nowe ataki na windowsowy port 445/tcp

CERT poinformował, że od kilku dni odnotowuje wzmożoną aktywność na porcie 445 tcp. Może to oznaczać atak nowego robaka lub przygotowania do wykorzystania nieujawnionej jeszcze luki w systemach Windows.
Port 445 tcp wykorzystywany jest przez usługi NetBIOS, do dzielenia zasobów a także zdalnego dostępu do rejestu i wywoływania funckji systemu. Był on już wielokrotnie wykorzystywany przez rozmaite robaki, a skala potencjalnej infekcji może być olbrzymia, jeśli weźmiemy pod uwagę że port ten jest otwarty w bardzo wielu komputerach domowych ze stałym łączym.

W przypadku nieujawnionej luki nie chroni nas w żaden sposób aktualizowanie systemu. Jedynym rozwiązaniem jest ograniczenie ilości udostępnianych usług przez ich wyłączenie lub filtrowanie przez osobisty firewall.

Aby wyłączyć niepotrzebne usługi należy w systemach Windows w karcie właściwości danego interfejsu odznaczyć wszystkie nieużywane składniki, w szczególności „Udostępnianie plików i drukarek…”. Zazwyczaj wystarczy pozostawić zaznaczony składnik „Protokół TCP/IP”.

Wykres z systemu ARAKIS* pokazuje wzrost aktywności portu 445 tcp obserwowany przez nas w ciągu ostatnich 5 dni.

Natomiast na mapce zobrazowany jest rozkład geograficzny hostów, które skanują ten port. Jak widać ruch pochodzi w większości z Chin oraz Stanów Zjednoczonych.
* ARAKIS (Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych). Celem tego projektu jest opracowanie i analiza statystycznego „obrazu zagrożeń” polskiej części Internetu.

Założenia ARAKIS’a przewidują możliwość wykorzystania tworzonego systemu do ochrony krytycznych (kluczowych) zasobów infrastruktury telekomunikacyjnej w Polsce, w tym zasobów należących do administracji publicznej.