CODE RED worm - popis,linky,opravy,backdoor

22.08.2001 13:29 | blackhole

Kazdy z vas uz urcite o nom pocul. vedie o nom dokonca uz aj sekretarky a obycajni useri. tento worm nechal za sebou tolko hacknutych a otvorenych masin, ze stoji zato si o nom nieco napisat ...

code red je worm. najuspesnejsi od cias slavneho morrisovho cerva (1988). momentalne na nete pobehuje jeho 3 verzia. je tento cerv nebezpecny ? ako sa siri a preco vlastne ? na taketo a podobne otazky sa pokusim odpovedat.

fakty:
takze worm red code, sa moze sirit iba na masinach s microsoftackym softom. vyuziva stare chyby, ktore mal mat kazdy opatchovane uz davno. do masiny sa dostave cez neopatchovany IIS webserver. postihnute su systemy winnt 4.0, a win2000. na ktorych tento webserver bezi.

pozname momentalne 3 hlavne vyvojove stadia tohto cerva. originalne nazvane code-red I (CRv1), code-red verzia 2 (CRv2), coderedII (crII), ako som pisal momentalne je uzaj verzia III avsak este nie je moc dobre zdokumentovana, tak sa jej budeme venovat menej.

code-red I (cdv1)
tento cervik vyuziva zname buffer-overflow v iis webserveroch. ma 3 stadia.
v prvom 1-19 dni skusa napadnut co najviac inych strojov. worm si vygeneruje vlastny zoznam ip adries ktore sa skusa napadnut rovnakym sposobom. kedze worm pouziva vlastny generator tak na kazdej masine si vygeneruje tie iste adresy a tie iste ide zasa napadat. ked prejde 20 dni od jeho uspesneho zabudovania do systemu, zacne floodovat ip adresu bieleho domu (vtedy 198.137.240.91 ). ale tato adresa sa hned zmenila takze flooding bol zbytocny. tento nedostatok cerva bol uz v dalsich verziach vyrieseny. po 8 dnoch floodovania sa wormik odoberie na spanok. zda sa, ze do necinnosti upadne navzdy. zatial sa nepodarilo v nijakom inom case ho znova prebrat k aktivite.
nebezpecenstvo tejto prvej verzie nebolo prilis velke. jednak sa nesiril moc rychlo, (vid. generovanie ip adries) a sem tam zmenil nejaku stranku a zanechal odkaz: "Hacked by Chinese". v tejto suvislosti sa aj rozmysla ci za tym nestoja cinsky hackeri. a odstranit ho z napadnuteho servera nebolo az take tazke. stacilo rebootovat. pretoze worm nebol ulozeny na hdd ani nemal na hdd ziaden subor, ziadnu stopu. avsak po rebootnuti bol stroj opet napadnuty, kedze sa na ostatnych masinach vygenerovala ta ista ip adresa. takze trebalo opatchovavat. odkazy vid. nizsie.

code-red verzia II(cdv2)
19. jula 2001 bola v rannych hodinach zachytena nova verzia worma. pomenovana crv2. v tejto verzii uz bolo generovanie ip adries pozmenene. vdaka pouzivaniu roznych seedov (random seed) oproti prvemu wormu kde sa pouzival staticky. zoznam adries uz nebol na kazdej masine identicky. tento worm sa zacal relativne rychlo rozmnozovat. za 14 hodin dokazal infikovat 359 000 strojov. co je uz uctihodne cislo. vo vsetkom ostatnom sa podobal na svojho predchodcu. tiez menil niektore stranky, relativne lachko sa dal dostat prec. nebol to ziaden prevrat. ten nastal da sa povedat az v coderedII

coderedII
tato verzia wormu bola spozorovana 4. augusta 2001. zmenil sa aj nazov z core-red sa preslo na coderedII. (mno taka redikalna zmena :) tento worm este pred infikovanim otestuje, ci uz na masine nie je. a teraz prichadza hlavny rozdiel. worm uz nemeni weby. ale vytvara si "backdoor". a rebootuje system. oproti prvym dvom verziam rebootovanie vam pri odstranovani nepomoze.
tak isto uz ma aj iny system na vyberanie dalsich svojich obeti. najskor skusa napadat pocitace s podobnou ip adresou. co je v celku logicke. ved vrana k vrane sada a tak isto to plati aj o deravych iis. napr. ak je worm na pocitaci s ip adresou 21.241.11.32 tak zacina testovat masiny s ip zacinajucou sa na 21. a podobne.

pozrime sa teraz blizsie na backdoor ktory si worm nechava. tento backdoor moze zneuzit hociktory utocnik. zneuzitie je v celku lachke. worm skopiruje cmd.exe do nasledovnych foldrov:

c:/inetpub/scripts/root.exe
c:/progra~1/common~1/system/MSADC/ root.exe
d:/inetpub/scripts/root.exe
d:/progra~1/common~1/system/MSADC/root.e xe

pre utocnika uz nie je nic lachsie ako zadat spravnu url a moze na serveri spustat hociake prikazy.
http://server/c/inetpub/scripts/root.exe?/c+prikaz
vyuzitie tohto backdoru sa dost podoba na dve chyby v iis ktore boli popisovane aj na blackhole.sk v clanku: Dve najzavaznejsie chyby v iis.

worm si potom este napastuje do systemu vlastneho trojana. do c:/explorer.exe po spusteni tohto suboru si vytvori v registroch polozku s hodnotou SFCDisable=0xFFFFFF9D do HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogin dalej si trojan vytvori tieto polozky v registroch:
SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/scripts to ,,217
SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/msadc to ,,217

tieto nastavenie sposobia ze permision root.exe a cmd.exe sa nastavi na read/write/execute/.
celkovo je to dost tuhy worm, ktory sa stale vyvija a ked si zoberiem ze na svete je nieco okolo 5,9 miliona iis webserverov, maju sa microsoftaci naco tesit. tento rok sa nie nadarmo oznacuje ako year of the worms :). nakoniec este pripajam nejake odkazy, pre tych ktory sa o codered zaujimaju trochu viac.

odkazy:
program ktory zneskodni aj worma aj trojana
http://www.eikon.tum.de/~simons/ida_ro ot
binarka worma coderedII
http://www.unixwiz.net/techtips/ CodeRedII.html

presny popis verzie CODE-RED I
http://www.eeye.co m/html/Research/Advisories/AL20010717.html
presny popis verzie CODE-RED v II
http://www.eeye.co m/html/Research/Advisories/AL20010717.html
http://www.silicondefense.com/crpresny popis verzie CODEREDII
http://www.eeye.co m/html/Research/Advisories/AL20010804.html
http://aris.securityfocus.com/al erts/codered2/

patche:
oprava na odstranenii unicode chyb v iis.
http://www.microsoft.com/technet/treeview/default.asp?url= /technet/itsolutions/security/topics/codealrt.asp

krok za krokom ako odstranit worma:
http://www.digitalisland.net/codered

doporucene weby na studium worma:
www.securityfocus.com
www.incidents.org
www.eeye.com
www.caida.com

ale ako najlepsi nastroj na vyhladavanie informacii o worme doporucujem google.com.mis0 truban