Code Red (компьютерный червь)

Компьютерный червь

Code Red был компьютерным червем , обнаруженным в Интернете 15 июля 2001 года. Он атаковал компьютеры, на которых работал веб-сервер Microsoft IIS . Это была первая крупномасштабная атака со смешанными угрозами , успешно нацеленная на корпоративные сети. ^[1]

Червь Code Red был впервые обнаружен и исследован сотрудниками eEye Digital Security Марком Майфретом и Райаном Перме, когда он использовал уязвимость, обнаруженную Райли Хасселом. Они назвали его «Code Red», потому что во время обнаружения пили Mountain Dew с тем же названием. ^[2]

Хотя червь был выпущен 13 июля, самая большая группа зараженных компьютеров была замечена 19 июля 2001 года. В тот день количество зараженных хостов достигло 359 000. ^[3]

Червь распространился по всему миру, став особенно распространенным в Северной Америке, Европе и Азии (включая Китай и Индию). ^[4]

Концепция

Эксплуатируемая уязвимость

Червь выявил уязвимость в программном обеспечении, распространяемом с IIS, описанную в бюллетене по безопасности Microsoft MS01-033 ^[5] , исправление для которого стало доступно месяцем ранее.

Червь распространялся, используя распространенный тип уязвимости, известный как переполнение буфера . Он делал это, используя длинную строку повторяющейся буквы «N» для переполнения буфера, что позволяло червю выполнять произвольный код и заражать машину червем. Кеннет Д. Эйхман был первым, кто обнаружил, как его заблокировать, и был приглашен в Белый дом за свое открытие. ^[6]

Полезная нагрузка червя

Полезная нагрузка червя включала:

• Дефейсинг затронутого веб-сайта для отображения:

ПРИВЕТ! Добро пожаловать на http://www.worm.com ! Взломано китайцами!

• Другие мероприятия в зависимости от дня месяца: ^[7]
  • Дни 1–19: Попытка распространиться путем поиска большего количества серверов IIS в Интернете.
  • Дни 20–27: Запуск атак типа «отказ в обслуживании» на несколько фиксированных IP-адресов . Среди них был IP-адрес веб-сервера Белого дома . ^[3]
  • 28-й день - конец месяца: спит, активных приступов нет.

При сканировании уязвимых машин червь не проверял, запущен ли сервер на удаленной машине с уязвимой версией IIS, или даже не проверял, запущен ли IIS вообще. Журналы доступа Apache того времени часто содержали записи вроде этих:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Полезная нагрузка червя — строка, следующая за последней буквой «N». Из-за переполнения буфера уязвимый хост интерпретировал эту строку как компьютерные инструкции, распространяя червя.

Похожие черви

4 августа 2001 года появился Code Red II . Хотя он использовал тот же вектор инъекции, у него была совершенно другая полезная нагрузка . Он псевдослучайно выбирал цели в тех же или других подсетях, что и зараженные машины, в соответствии с фиксированным распределением вероятностей, чаще отдавая предпочтение целям в своей собственной подсети. Кроме того, он использовал шаблон повторения символов «X» вместо символов «N» для переполнения буфера.

eEye полагал, что червь возник в Макати , Филиппины , того же происхождения, что и червь VBS/Loveletter (он же «ILOVEYOU»).

Смотрите также

• Червь Нимда
• Хронология компьютерных вирусов и червей

Ссылки

1. Trend Micro. «Предотвращение и управление атаками смешанного типа на предприятии» (PDF) .
2. АНАЛИЗ: .ida "Code Red" Worm (архивная копия от 22 июля 2011 г.), Euaa advice, eEye Digital Security, 17 июля 2001 г.
3. Мур, Дэвид; Шеннон, Коллин (ок. 2001). "Распространение червя Code-Red (CRv2)". Анализ CAIDA . Получено 3 октября 2006 г.
4. «Открытия – Видео – Распространение кодового красного червя». Национальный научный фонд .
5. MS01-033 «Бюллетень по безопасности Microsoft MS01-033: Непроверенный буфер в расширении ISAPI сервера индекса может привести к компрометации веб-сервера», корпорация Microsoft, 18 июня 2001 г.
6. Лемос, Роб. «Вирулентный червь ставит под сомнение нашу способность защищать Сеть». Код отслеживания Red . Новости CNET. Архивировано из оригинала 17 июня 2011 г. Получено 14 марта 2011 г.
7. "CERT Advisory CA-2001-19: Червь 'Code Red', эксплуатирующий переполнение буфера в DLL-библиотеке индексной службы IIS". CERT/CC . 17 июля 2001 г. Получено 29 июня 2010 г.

Внешние ссылки

• Анализ Code Red II, Unixwiz.net Стива Фридла, последнее обновление 22 августа 2001 г.
• CAIDA Analysis of Code-Red, Кооперативная ассоциация анализа интернет-данных (CAIDA) в Суперкомпьютерном центре Сан-Диего (SDSC), обновлено в ноябре 2008 г.
• Анимация, демонстрирующая распространение червя Code Red 19 июля 2001 года, Джефф Браун, Калифорнийский университет в Сан-Диего , и Дэвид Мур, CAIDA в SDSC