Code Red (wirus komputerowy)

Code Red – specyficzny rodzaj robaka komputerowego, odkryty w Internecie 15 lipca 2001 roku. Atakował on komputery z uruchomionym oprogramowaniem serwera Microsoft Internet Information Server (IIS). Był to pierwszy atak, który z powodzeniem dotknął sieci biurowe[1].

Code Red
CRv, CRvII
ilustracja
Inne nazwy

.ida Code Red Worm

Rodzaj

robak komputerowy

Typ

blokujący serwery

Data izolacji

2001-07-15 15 lipca 2001(dts)

Robaka po raz pierwszy zlokalizowali i zbadali pracownicy eEye Digital Security, Marc Maiffret i Ryan Permeh, gdy wykorzystywał on lukę bezpieczeństwa odkrytą przez Rileya Hassella. Wspólnie nazwali go Code Red z powodu spożywanego w tym czasie napoju Code Red Mountain Dew[2].

Pomimo uwolnienia do sieci robaka w dniu 13 lipca, dopiero 19 lipca 2001 roku zanotowano największą liczbę zainfekowanych maszyn – osiągnęła ona 359 tysięcy[3].

Koncept

edytuj

Luka bezpieczeństwa

edytuj

Robak pokazał istnienie dziury bezpieczeństwa w oprogramowaniu dołączanym do IIS, opisanej w dokumencie Microsoft Security Bulletin MS01-033[4], dla której miesiąc wcześniej wydano łatkę.

Rozprzestrzeniał się wykorzystując przepełnienie bufora. Doprowadzał do niego używając długiego łańcucha powtarzanej litery N, co pozwalało na wykonanie kodu infekującego maszynę. Kenneth D. Eichman jako pierwszy odkrył sposób na zablokowanie robaka i otrzymał za to zaproszenie do Białego Domu[5].

Działanie

edytuj

Działanie robaka obejmowało:

  • zamianę treści wszystkich stron pobieranych z danego serwera WWW wyświetlając tekst:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
  • inne czynności, zależne od dnia miesiąca:[6]
    • dni 1–19: próbował się kopiować na inne komputery z oprogramowaniem IIS, wyszukując serwery w Internecie
    • dni 20–27: uruchamiał atak typu Denial of Service (DoS) na kilka wybranych adresów IP (w tym m.in. na komputery Białego Domu)[3]
    • dni 28–ostatni: brak aktywności.

W trakcie skanowania w poszukiwaniu zagrożonych komputerów robak nie sprawdzał, czy serwer zdalny używał niezałatanej wersji IIS i czy w ogóle posiadał to oprogramowanie. Dzienniki dostępu serwerów opartych o Apache często zawierały następujący wpis:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Danymi robaka jest ciąg znaków występujący po ostatniej literze 'N'. Z powodu przepełnienia bufora zagrożony host interpretował ten ciąg znaków jako polecenie, rozprzestrzeniając dalej robaka.

Pokrewne

edytuj

4 sierpnia 2001 roku pojawił się Code Red II. Pomimo identycznego wektora, działał w inny sposób. Pseudo-losowo wybierał cele na tych samych lub innych podsieciach, do których były podłączone zainfekowane komputery, na podstawie określonego stopnia prawdopodobieństwa, faworyzując maszyny działające na własnej podsieci. Dodatkowo używał on ciągu liter 'X' zamiast 'N' do przepełnienia bufora.

Zdaniem eEye robak mógł zostać napisany w Makati na Filipinach, skąd również pochodzi VBS/Loveletter (znany też jako „ILOVEYOU”).

Przypisy

edytuj
  1. Trend Micro, Enterprise Prevention and Management of Mixed-Threat Attacks [PDF] [online] (ang.).
  2. Eye Digital Security, ANALYSIS: .ida "Code Red" Worm, [w:] Code Red advisory [online], 17 lipca 2001 [zarchiwizowane 2011-07-22] (ang.).
  3. a b David Moore, Shannon Colleen, The Spread of the Code-Red Worm (CRv2) [online], CAIDA Analysis [dostęp 2021-05-14] (ang.).
  4. Microsoft, Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise, Security TechCenter [zarchiwizowane 2012-09-09] (ang.).
  5. Rob Lemos, Virulent worm calls into doubt our ability to protect the Net, [w:] Tracking Code Red [online], CNET News [zarchiwizowane 2011-06-17] (ang.).
  6. CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL, CERT/CC, 17 lipca 2001 [dostęp 2021-05-14] [zarchiwizowane 2012-07-21] (ang.).

Linki zewnętrzne

edytuj