ARAKIS - system wczesnego ostrzegania nowe wydanie

Transkrypt

1 ARAKIS - system wczesnego ostrzegania nowe wydanie Autor: Administrator Zmieniony Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT ARAKIS to rojekt ma na celu wykrywanie i opisywanie nowych zagrożeń w sieci na podstawie agregacji i korelacji danych z różnych źródeł, w tym honeypotów, sieci darknet, firewalli, oraz systemów antywirusowych. Na stronach prezentowany jest obraz aktywności w sieci Internet na bazie danych zebranych z wybranych źródeł. Radar poniżej przedstawia alarmy wytworzone przez system w ciągu ostatnich 24 godzin. Najważniejszym alarmem prezentowanym na publicznych stronach jest alarm o nazwie NCLUS, który sygnalizuje pojawienie się nowych danych w pakietach widzianych przez systemy honeypot. Nowy rodzaj pakietu może oznaczać pojawienie się w sieci nowego rodzaju exploitu. Prezentowane są również trzy inne alarmy - NPORT, NSNORT i SWEEP (więcej na ich temat w FAQ). Kliknięcie na poszczególny typ alarmu w legendzie wykresu umożliwia uzyskanie bardziej szczegółowych informacji na jego temat. Numer portu Usługa Opis 21 FTP Aktywność na porcie 21/TCP jest często związana z poszukiwaniem anonimowych serwerów FTP (File Transfer Protocol). Serwery takie często pozwalają na anonimowe zapisanie i odczytanie danych, stąd są atrakcyjnym celem dla osób szukających miejsc do przechowywania nielegalnego oprogramowania. W przeszłości w wielu implementacjach FTP znajdowano poważne luki, takie jak przepełnienia bufora, umożliwiające uzyskanie uprawnień administratora. Skanowanie może mieć na celu zidentyfikowanie (lub od razu wykorzystanie) potencjalnie dziurawej wersji serwera FTP. 22 SSH Port 22/TCP jest najczęściej kojarzony z usługą SSH (Secure Shell). SSH umożliwia zdalną, bezpieczną (dzięki szyfrowaniu transmisji) pracę, przede wszystkim na systemach Unix. Jednak w przypadku wielu implementacji, w serwerach SSH (lub w bibliotekach, z których SSH korzysta, w szczególności OpenSSL) znajdowano luki umożliwiające zdalne uzyskanie uprawnienia root. Ze względu na powyższe oraz fakt, że często SSH jest jedyną zdalnie udostępnianą usługą, port 22/TCP stał się jednym z popularniejszych celów ataku. 23 TELNET Na porcie 23/TCP znajduje się usługa telnet, umożliwiająca zdalną pracę. Ponieważ telnet przesyła dane w sposób jawny, narażając je na podsłuch, usługa ta uznawana jest za niebezpieczną i często zastępowana jest przez SSH. Pomimo tego, wiele dystrybucji systemu Unix ma serwer telnet domyślnie włączony. Bardzo często za pomocą telnet zarządzane są także routery i switche. Skanowanie portu 23/TCP może oznaczać próbę identyfikacji systemu operacyjnego, gdyż większość systemów przedstawia się swoim charakterystycznym bannerem. W przeszłości w serwerach telnet znajdowano także luki umożliwiające zdalne uzyskanie uprawnienia administratora systemu (root) 25 SMTP Skanowanie portu 25/TCP jest często wykonywane przez spamerów, szukających otwartych serwerów pocztowych, które można wykorzystać do rozsyłania spamu. Serwery pocztowe, w szczególności sendmail, w przeszłości słynęły z licznych luk umożliwiających zdalne uzyskanie uprawnień administratora systemu (root). Chociaż publikowanych luk jest obecnie niewiele, w dalszym ciągu się zdarzają. SMTP wykorzystywano także do rozpoznania użytkowników systemu (za pomocą poleceń vrfy i expn), co umożliwiało w następstwie wykonanie prostego ataku słownikowego na konta użytkowników, na przykład za pomocą usługi telnet. Przez pocztę elektroniczną propaguje się też wiele wirusów i robaków. 42 WINS Skanowanie portu 42/TCP ma związek z wykrytą luką w usłudze WINS (Microsoft Windows). Exploit na lukę został opublikowany w sieci. Usługa WINS nie występuje w standardowej instalacji systemu Windows. 53 DNS DNS (Domain Name System) jest systemem rozwiązywania nazw i jednym z podstawowych protokołów internetowych. Za pomocą DNS odwzorowywane są nazwy DNS na numery IP i odwrotnie. Skanowanie portu 53/UDP może być próbą uzyskania wersji serwera DNS lub próbą włamania (w przeszłości w implementacjach serwerów DNS, w szczególności ISC BIND, znajdowano wiele luk). Z kolei zapytania na port 53/TCP mogą oznaczać próby przeprowadzenia transferu strefy, co umożliwiłoby uzyskanie adresów i nazw DNS wszystkich komputerów w domenie. 79 FINGER Na porcie 79/TCP tradycyjnie rezyduje usługa finger. Za pomocą tej usługi można uzyskać informacje o użytkownikach systemu, a także o systemie operacyjnym. Usługę tę można też często wykorzystać w charakterze pośrednika do wysyłania zapytań finger do innych systemów. W serwerze finger znajdowano też luki umożliwiające uzyskanie zdalnego dostępu do systemu. Słynny robak Internet Worm w 1988 wykorzystywał między innymi usługę

2 finger do propagacji. 80 HTTP Na porcie 80/TCP rezyduje serwer HTTP. Serwery HTTP tworzą globalną sieć WWW. Serwery WWW są jednym z najpopularniejszych celów ataków. Często zawierają luki umożliwiające zdalne wykonanie dowolnego kodu z przywilejami użytkownika, z którego prawami uruchomiony jest serwer. Luki te znajdują się zarówno na poziomie implementacji samego serwera jak i na poziomie udostępnianych przez nie rozmaitych skryptów (na przykład CGI lub PHP) oraz baz danych. Popularność serwerów WWW i ich podatność na ataki spowodowała, że są częstym celem rozmaitych robaków sieciowych. Do tej grupy robaków należą między innymi słynne CodeRed, Nimda oraz Welchia/Nachi. 110 POP3 POP3 jest wykorzystywany przez klientów do uzyskiwania zdalnego dostępu do skrzynki pocztowej. W serwerach POP3 znajdowano wiele luk (między innymi przepełnienia bufora) umożliwiających uzyskanie dostępu do systemu z różnym poziomem uprawnień. Wykorzystanie części z tych luk jest możliwe bez wcześniejszego uwierzytelnienia. W przeszłości skanowanie portu 110/TCP było bardzo częste. W chwili obecnej jest rzadziej spotykane. Niewykluczone jednak, że w przypadku wykrycia poważnej luki w popularniejszej aplikacji, port ten stanie sie częstszym obiektem ataku. 111 portmap Zapytania na port 111 mogą być próbą uzyskania, za pośrednictwem usługi portmap, listy udostępnianych usług RPC, takich jak rpc.mountd, NFS, rpc.statd itp. W przypadku uzyskania adresu (portu) poszukiwanej usługi, atakujący może następnie spróbować włamać się poprzez bezpośrednie odwołanie do udostępnianej usługi. Usługi RPC mają bardzo długą historie luk i powinny być zawsze blokowane na poziomie systemów firewall. 113 identd Ident służy do zdalnej identyfikacji właściciela procesu, które nawiązało połączenie TCP. Wykorzystywany jest przede wszystkim przez serwery IRC, ale czasami także przez serwery FTP, SMTP lub POP. Zapytania na ten port są zazwyczaj wysyłane w odpowiedzi na połączenie z serwisem zewnętrznym. Skanowanie portu 113 zdarza się rzadko. Pojawienie się informacji o zablokowaniu przez firewall pakietu skierowanego na port 113 oznacza zazwyczaj, że ktoś z naszej sieci łączył się z serwerem wykorzystującym usługę ident do lepszego logowania bądź kontroli dostępu. 119 NNTP Na porcie 119/TCP często rezyduje serwer NNTP. Serwery NNTP tworzą sieć USENET (listy dyskusyjne). Skanowania tego portu są rzadko spotykane. Kiedy następują, są zazwyczaj próbami znalezienia otwartych serwerów NNTP, które mogą być wykorzystywane do anonimowego wysyłania wiadomośći i/lub do wysyłania spamu. 135 loc-srv/epmap Na porcie 135/TCP znajduję się usługa Microsoft RPC Endpoint Mapper. Pełni ona podobne funkcje, co usługa portmap na porcie 111 dla systemów Unix. W 2003 roku w Microsoft RPC znaleziono poważne luki, umożliwiające zdalne wykonywanie dowolnego kodu z uprawnieniami systemu. Jedna z tych luk stała się podstawą wielu robaków, z których najbardziej znane to robaki Blaster oraz Nachi/Welchia. Większość prób wykorzystania luk na tym porcie wykonywana jest przez wyżej wymienione robaki i ich mutacje oraz trojana Agobot/Phatbot. Przed pojawieniem się wspomnianych robaków, skanowanie portu było popularne ze względu na możliwość sprawdzenia, jakie usługi są świadczone przez dany system Windows. Port 135/UDP jest też często wykorzystywany do wysyłania komunikatów typu winpopup przez Windows Messenger Service (WMS - w polskiej wersji językowej Windows serwis znany jako usługa Posłaniec), co czyni ten port celem ataku spamerów. W związku z tym, że port 135 jest często blokowany przez operatorów internetowych, część spamerów przerzuciło się na porty , pod którymi usługa WMS jest często bezpośrednio dostępna. 137 NetBIOS name service (nbtstat) Na porcie 137 znajduje się usługa nbtstat, która służy (przede wszystkim systemom Windows) do translacji adresów IP na nazwy NetBIOS. Kiedy stacja Windows rozwiązuje nazwy, może wysłać pakiet UDP na ten port. Duża część takich pakietów (blokowanych na systemach firewall) nie ma związku z próbami ataku. Odwołania na port 137/UDP mogą mieć też związek z robakami szukającymi otwartych zasobów Windows (port 139/TCP) bądź być próbą zebrania jak największej informacji o systemie przez atakującego. 139 NetBIOS file sharing Za pośrednictwem protokołu SMB (Server Message Block) dzielone są zasoby Windows. SMB jest bardzo użyteczną funkcją sytemu Windows, jednak jej niewłaściwa konfiguracja może narazić system na włamanie. Odwołanie do zasobów SMB może się odbywać poprzez NetBIOS. W tej sytuacji wysyłane są pakiety na port 139/TCP. Ponieważ zasoby Windows stanowią atrakcyjny cel, włamywacze często skanują port 139/TCP w poszukiwaniu zasobów. Istnieją również robaki sieciowe, które wykorzystują ten port do propagacji. W sambie, która jest implementacją protokołu SMB dla systemów różnych od Windows, wykryto podatności pozwalające na przepełnienie stosu i zdalne wykonanie instrukcji z prawami root. 143 IMAP Protokół IMAP4 jest wykorzystywany do zdalnego dostępu do skrzynki pocztowej. Serwer IMAP4 rezyduje zazwyczaj na porcie 143/TCP. W serwerach IMAP4 znajdowano wiele luk, w tym umożliwiających zdalne wykonywanie kodu z przywilejami administratora systemu. W związku z tym, port ten stał się również celem ataków robaków, między innymi robaka admw0rm atakującego systemy Linux. 161 SNMP Protokół SNMP

3 (Simple Network Management Protocol) służy do zdalnego zarządzania urządzeniami sieciowymi. Agent SNMP nasłuchuje na porcie 161/UDP. Port ten jest skanowany, gdyż bardzo często hasła SNMP (tzw. community names) umożliwiające odczytanie bądź zmianę konfiguracji urządzenia, na którym uruchomiony jest agent, są łatwe do odgadnięcia. Znaleziono też wiele luk w implementacjach SNMP. Skanowanie portu 161/UDP może być próbą wykorzystania tych luk. 443 https Na porcie 443/TCP często nasłuchują serwery HTTP. Na ten port kierowany jest ruch HTTP wzbogacony o SSL (Secure Sockets Layer). Protokół HTTPS umożliwia klientom zestawienie bezpiecznego połączenia z serwerem WWW. Jednak luki na poziomie serwera WWW są często takie same, niezależne od tego czy serwer nasłuchuje ruch HTTPS na porcie 443 czy też HTTP na porcie 80. Dodatkowo, istnieje wiele luk związanych z bibliotekami SSL (w szczególności OpenSSL). W 2002 roku robak Slapper atakował serwery HTTPS na Linuksie, wykorzystując lukę przepełnienie bufora w implementacji OpenSSL. 445 microsoft-ds Począwszy od Windows 2000, Microsoft udostępnił możliwość uruchamiania SMB (Server Message Block) bezpośrednio po TCP. Usługę zaimplementowano na porcie 445/TCP. W związku z tym, port 445/TCP jest często skanowany w poszukiwaniu otwartych zasobów sieciowych Windows. Port jest często atakowany przez robaki, które usiłują złamać hasła administratora za pomocą ataku słownikowego w celu uzyskania dostępu do zasobów sieciowych Windows. Jednym z bardziej znanych robaków tego typu był Deloder. Podobne ataki czynione są za pomocą rozproszonych botnetów. Z kolei słynny robak Sasser wykorzystywał przepełnienie bufora w LSASS za pośrednictwem tego portu. 515 lp printer Na porcie 515/TCP często można spotkać daemona lp (zarządza drukowaniem). Z usługą tą związanych jest wiele luk. Robak Ramen wykorzystywał lukę na tym porcie w systemach Linux. 554 RTSP Port 554/TCP kojarzony jest z usługą Real Time Streaming Protocol. W 2003 roku opublikowano kilka informacji o lukach związanych z RealNetworks Helix Universal RTSP Server (oprogramowanie dostępne jest zarówno pod systemy Windows jak i Unix). Umożliwiały one zdalne wykonanie dowolnego kodu na systemie z serwerem RTSP z przywilejami użytkownika uruchamiającego serwer. Skanowanie może być próbą wykorzystania tych luk. 901 Samba-SWAT 901/TCP jest jednym z portów zarządzających sensorami RealSecure. Kojarzony jest również z Samba Web Administration Tool. W 2003 roku pojawiły się regularne skanowania tego portu. Przypuszczalnie jednak, mają związek z trojanem NetDevil, który także nasłuchuje na tym porcie Skanowanie na port 1023 może mieć związek z próbami odnalezienia serwera FTP, który jest uruchamiany przez robaka W32.Sasser.E jest portem efemerycznym, często przydzielany aplikacjom klienckim. Czasem jednak przydzielany jest też innym usługom. Przez port 1025/TCP wykorzystywane są też luki RPC na systemach Windows (robak Agobot/Phatbot) jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten port może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock, PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten port może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock, PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów WMS Patrz opis portu SOCKS Na porcie 1080/TCP znajduję się usługa SOCKS, umożliwiająca tunelowanie różnych protokołów przez systemy firewall. Źle skonfigurowane proxy SOCKS przyjmują nieuwierzytelnione połączenia z zewnątrz. W ten sposób mogą zostać wykorzystane do maskowania swojego rzeczywistego źródła połączenia. Obecność SOCKS proxy jest często sprawdzana przez serwery IRC, w celu redukcji możliwych nadużyć MS SQL Na porcie 1433/TCP rezyduje usługa Microsoft SQL Server. W serwerze tym znaleziono wiele luk umożliwiających odczytywanie danych z bazy, jej modyfikacje, a także uzyskiwanie dostępu do systemu operacyjnego. Robak MS SQLsnake w dalszym ciągu włamuje się do wielu instalacji MS SQL Server zainstalowanych z pustym hasłem (co jest cechą instalacji domyślnej), za pośrednictwem tego portu MS SQL service discovery MS SQL wykorzystuje port 1434/UDP do wyszukiwania usług SQL w sieci lokalnej. W serwerze tym znaleziono wiele luk. Słynny robak SQL Slammer wykorzystał przepełnienie bufora na tym porcie. Większość zapytań na ten port w dalszym ciągu pochodzi od tego robaka SubSeven Z portem 1243 (a także 27374) kojarzony jest słynny koń trojański SubSeven. Trojan ten umożliwia między innymi pełne zdalne przejęcie kontroli nad zainfekowanym komputerem. Skanowanie na ten port jest próbą odszukania komputerów z wyżej wymienionym koniem

4 trojańskim Skanowanie na ten port może być próbą odnalezienia zainfekowanych hostów przez konia trojańskiego Trinoo NFS Serwer NFS (Network File System) często nasłuchuje na tym porcie. Chociaż nie są znane żadne robaki wykorzystujące ten port, niepoprawnie skonfigurowany serwer NFS może być wykorzystany do włamania ORACLE FTP Skanowanie na port 2100/TCP może mieć związek z próbami wykorzystania luk w serwerze FTP Oracle ssc-agent Na porcie 2967/TCP w Symantec AntiVirus 10.x oraz Symantec Client Security 3.x udostępniany jest serwer zdalnego dostępu. Chociaż ruch na tym porcie jest zazwyczaj szyfrowany przez SSL, akceptowane są również zapytania nieszyfrowane. Implementacja jednego z nieszyfrowanych poleceń (COM_FORWARD_LOG, id 0x24) zawiera nieprawidłowe użycie funkcji strncat. Błąd umożliwia przepełnienie bufora i wstrzyknięcie do aplikacji kodu, który zostanie wykonany z uprawnieniami systemowymi. Robaki wykorzystujące podatność: W32.Rinbot.BF, W32.Sagevo, W32.Spybot.ANOO. Podstawową metodą zabezpieczenia systemu przed zautomatyzowanym atakiem jest zmiana portu serwera w rejestrze Windows: "HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\AgentIPPort" Port 2968/TCP jest wykorzystywany do udostępniania zdalnego dostępu w serwerach NetWare. Połączenia na ten port mogą być próbami wykorzystania podatności w Symantec AntiVitus 10.x oraz Symantec Client Security 3.x umożliwiającej przepełnienie bufora i wykonanie wstrzykniętego kodu (patrz port 2967) Port 3127 jest otwierany w charakterze tylnej furtki przez wirusa MyDoom. Wirus MyDoom(W32.Mydoom.K@mm) jest przekazywany jako załącznik z rozszerzeniem pif, scr, exe, cmd, bat lub zip do wiadomości . Wirus MyDoom został rozpropagowany tą drogą na wiele maszyn. Port 3127 jest często skanowany, ponieważ wiele robaków stara sie zainfekować komputery zarażone przez MyDoom. Do najważniejszych robaków wykorzystujących maszyny zarażone MyDoom należą W32.Mockbot.A.Worm, W32.Welchia.D.Worm oraz W32.Welchia.K squid Standardowy port wykorzystywany przez oprogramowanie squid (HTTP proxy). Skanowanie na ten port jest zazwyczaj próbą znalezienia otwartych serwerów proxy w celu ukrycia przez atakującego swojej tożsamości. HTTP proxy można często również spotkać na portach 8000, 8001, 8080 i Czasami źródłem połączeń na te porty są serwery IRC i podobne, próbujące w ten sposób ograniczać nadużycia spowodowane za pośrednictwem otwartych serwerów proxy. Port ten jest też otwierany w charakterze tylnej furtki przez wirusa W32.Mydoom.B@mm(patrz opis portu 3127) Skanowanie portu 3306/TCP może być przeprowadzane przez robaka W32.Spybot.IVQ. Robak W32.Spybot.IVQ propaguje się atakując serwery MySQL oraz Microsoft SQL za pomocą prostego słownika, próbuje metodą brute-force uzyskać dostęp do baz. Szczególnie narażone na atak są więc konfiguracje ze słabym hasłem. Port 3306 jest również wykorzystywany przez konia trojańskiego Backdoor.Nemog.D, który ma statycznie wprowadzoną listę adresów IP oraz listę portów, na które wykonuje połączenia. Port 3306/TCP znajduje się na tej liście. Ostatnio port 3306 jest używany również przez klony emule oraz edonkey msterm-services Port 3389 jest kojarzony z Microsoft Terminal Services. Serwer usługi ma lukę, która uniemożliwia mu wymuszenie szyfrowanego połączenia. W efekcie pozwala to na podsłuchanie sesji RDP i atak typu "man-in-the-middle" backdoor optix Port 3410 jest wykorzystywany przez trojana Backdoor.Optix.Pro do otwarcia tylnej furtki. Trojan Backdoor.Optix.Pro jest aplikacją napisaną w Delphi i daje intruzowi nieautoryzowany dostęp do zainfekowanego komputera. Skanowania na ten port pojawiają się od czasu do czasu, i mogą mieć związek z próbami odszukania zarażonych komputerów Skanowanie na port 4000 może mieć związek z próbami odnalezienia trojanów bądź źle skonfigurowanych aplikacji do zdalnego zarządzania. Koń trojański Trojan.Peacomm używa portu 4000/UDP do utworzenia szyfrowanego kanału komunikacji(rownież porty 7871 oraz 11271). Trojan.Peacomm jest propagowany w załącznikach poczty elektronicznej Port 4128 jest otwierany przez konia trojańskiego Backdoor.RCServ. Zainfekowanie komputera umożliwia intruzowi nieautoryzowany dostęp do maszyny. Do groźnych działań podejmowanych przez zarażone komputery należą otwieranie serwera FTP oraz uczestnictwo w atakach DoS Port 4444 jest przypisany standardowo do usługi Kerberos. Zwiększona liczba prób połączeń na ten port może być związana z luką w bibliotece HLINK.DLL systemu Windows. Błąd polega na niewłaściwym sprawdzaniu rozmiaru danych wprowadzonych przez użytkownika przed kopiowaniem ich do bufora. Wykorzystanie błędu pozwala intruzowi na wstrzyknięcie kodu i wykonanie go w kontekście aplikacji używającej biblioteki HLINK.DLL. Podatność jest wykorzystywana przez konia trojańskiego Trojan.Hlinic, który otwiera tylne drzwi na porcie 4444, pozwalając na zdalny dostęp do skompromitowanego systemu. Na porcie 4444 tylne drzwi otwierają również: Reidana(patrz opis portu

5 139) oraz Blaster (patrz opis portu 135) radmin Port kojarzony z aplikacją do zdalnego zarządzania, Remote Administrator. Skanowanie tego portu może być związane z próbami znalezienia luk w tym oprogramowaniu. Robak W32.Rahack propaguje się poprzez usługę Radmin wykorzystując słabe hasła ustawione na serwerze Port 5554 jest wykorzystywany przez robaka W32.Sasser.B.Worm (i jego pochodne) do otwarcia serwera FTP. FTP na tym porcie służy do przesyłania robaka na kolejne hosty. Skanowanie portu 5554 przeprowadzane jest zazwyczaj przez W32.Dabber. Robak szuka serwera FTP otwieranego przez W32.Sasser, w którym znajduje się luka umożliwiająca uzyskanie dostępu do komputera Skanowanie portu 6101/TCP ma związek z wykrytą luką w Veritas Backup Exec 8.x/9.x. Luka jest wykorzystywana przez W32.Spybot.ANOO, który oprócz otwarcia tylnej furtki w systemie zapisuje również sekwencje klawiszy wpisywanych na niektórych stronach WWW (np. PayPal, e-bay) dameware Port kojarzony z aplikacją do zdalnego zarządzania, Windows DameWare Mini Remote Control (rezyduje na porcie 6129/TCP). Skanowanie na ten port po raz pierwszy zauważono około 20 grudnia 2003 roku. Ma to prawdopodobnie związek z opublikowaną kilka dni wcześniej luką przepełnienia bufora w tej aplikacji. Wykorzystanie luki zostało dodane do robaka W32.Mockbot.A.Worm. W32.Mockbot łączy się z predefiniowanym kanałem IRC, na którym oczekuje na polecenia do wykonania radmind radmind jest narzędziem linii poleceń służącym do zdalnej administracji systemami plików na kilku maszynach uniksowych jednocześnie. Zwiększony ruch na tym porcie może wskazywać na poszukiwanie luk w tym programie Cisco Tomcat Na porcie 8555 działa usługa Cisco Unified CallManager. W produkcie tym zostało wykrytych i udokumentowanych wiele błędów umożliwiających eskalację uprawnień (błąd CSCse11005), nieuprawnione nadpisywanie plików (błąd CSCse31704) oraz przepełnienie bufora (błąd CSCsd96542). Opisane luki umożliwiają wstrzyknięcie i wykonanie kodu na skompromitowanej maszynie. Do tej pory nie zostały zarejestrowane żadne robaki wykorzystujące podatności CallManager'a. Zwiększony ruch na tym porcie oznacza, iż w najbliższym czasie może pojawić się exploit Port 9898/TCP jest otwierany przez robaka W32.Dabber (patrz port 5554) do pozostawienia tylnej furtki, która może zostać wykorzystana do zdalnego uruchamiania programów. Również koń trojański Backdoor.Crashcool używa tego portu do odbierania poleceń od intruza Skanowanie na port 10000/TCP może mieć związek z szukaniem dziurawych wersji oprogramowania Veritas Backup Exec. Port jest również wykorzystywany przez robaka W32.Dumaru do otwarcia tylnej furtki Skanowanie na port przeprowadzane jest przez robaka Dipnet (lub Oddbob) i ma związek z próbami sprawdzenia, czy zdalny komputer jest już zinfekowany przez tego robaka internetowego. Dipnet nim zaatakuje zdalny host, próbuje połączyć się do niego na port lub i wysyła ciąg " 123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123". Jeżeli host jest już zainfekowany przez Dipnet, odpowie ciągiem " 1asdfasdFasdfhjsdf_fsd AAA3", a następnie zakończy połączenie. Ta "wymiana" zapobiega ponownej infekcji hosta SubSeven Z portem (a także 1243) kojarzony jest słynny koń trojański SubSeven. Trojan ten umożliwia między innymi pełne zdalne przejęcie kontroli nad zainfekowanym komputerem. Skanowania tego portu mogą być próbą odszukania komputerów z wyżej wymienionym koniem trojańskim Skanowanie na 41523/TCP może być próbą wyexploitowania luki w CA BrightStor Agent for Microsoft SQL Server.