Code Red (компьютерный червь)

Код Красный
Код Красный
Техническое название	CRv и CRvII
	Веб-сайт, испорченный червем
Тип	Серверный червь-глушитель

Code Red — компьютерный червь , обнаруженный в Интернете 15 июля 2001 года. Он атаковал компьютеры, на которых работал веб-сервер Microsoft IIS . Это была первая крупномасштабная атака смешанного типа, успешно нацеленная на корпоративные сети. ^[1]

Червь Code Red был впервые обнаружен и исследован сотрудниками eEye Digital Security Марком Майффретом и Райаном Перме, когда он воспользовался уязвимостью, обнаруженной Райли Хасселл. Они назвали его «Красный код», потому что на момент открытия пили Mountain Dew с тем же названием. ^[2]

Хотя червь был выпущен 13 июля, самая большая группа зараженных компьютеров была замечена 19 июля 2001 года. В этот день число зараженных хостов достигло 359 000. ^[3]

Червь распространился по всему миру, особенно в Северной Америке, Европе и Азии (включая Китай и Индию). ^[4]

Концепция

Используемая уязвимость

Червь обнаружил уязвимость в растущем программном обеспечении, распространяемом с помощью IIS, описанную в бюллетене Microsoft Security Bulletin MS01-033. ^[5] патч для которого стал доступен месяцем ранее.

Червь распространяется, используя распространенный тип уязвимости, известный как переполнение буфера . Он сделал это, используя длинную строку повторяющейся буквы «N» для переполнения буфера, позволяя червю выполнить произвольный код и заразить машину червем. Кеннет Д. Эйхман был первым, кто обнаружил, как его заблокировать, и был приглашен в Белый дом . за это открытие ^[6]

Полезная нагрузка червя

В полезную нагрузку червя входили:

Дефейс затронутого веб-сайта для отображения:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

Другие мероприятия в зависимости от дня месяца: ^[7]
- Дни 1-19: Попытка распространения путем поиска дополнительных серверов IIS в Интернете.
- Дни 20–27: Запуск атак типа «отказ в обслуживании» на нескольких фиксированных IP-адресах . IP-адрес веб-сервера Белого дома . Среди них был ^[3]
- Дни 28-конец месяца: Спит, активных приступов нет.

При сканировании уязвимых машин червь не проверял, работает ли на сервере, работающем на удаленной машине, уязвимую версию IIS, или даже не проверял, работает ли он вообще. Журналы доступа Apache того времени часто содержали такие записи:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

Полезная нагрузка червя — это строка, следующая за последней буквой «N». Из-за переполнения буфера уязвимый хост интерпретировал эту строку как инструкции компьютера, распространяя червя.

См. также

Ссылки

^ Тренд Микро. «Предотвращение на предприятии атак смешанного типа и управление ими» (PDF) .
^ АНАЛИЗ: .ida "Code Red" Worm (архивная копия от 22 июля 2011 г.) , рекомендация Euaa, eEye Digital Security, 17 июля 2001 г.
^ Перейти обратно: ^а ^б Мур, Дэвид; Шеннон, Коллин (ок. 2001 г.). «Распространение Code-Red Worm (CRv2)» . CAIDA Анализ . Проверено 3 октября 2006 г.
^ «Открытия – Видео – Распространение кодового красного червя» . Национальный научный фонд .
^ MS01-033 «Бюллетень по безопасности Microsoft MS01-033: Непроверенный буфер в индексном сервере. Расширение ISAPI может привести к компрометации веб-сервера» , Microsoft Corporation, 18 июня 2001 г.
^ Лемос, Роб. «Вирулентный червь ставит под сомнение нашу способность защитить Сеть» . Код отслеживания красный . Новости CNET. Архивировано из оригинала 17 июня 2011 года . Проверено 14 марта 2011 г.
^ «Рекомендация CERT CA-2001-19: червь «Code Red», использующий переполнение буфера в DLL службы индексирования IIS» . CERT/CC . 17 июля 2001 года . Проверено 29 июня 2010 г.

Внешние ссылки

Анализ Code Red II , Unixwiz.net Стива Фридла, последнее обновление 22 августа 2001 г.
CAIDA Analysis of Code-Red , Кооперативная ассоциация анализа интернет-данных (CAIDA) в Суперкомпьютерном центре Сан-Диего (SDSC), обновлено в ноябре 2008 г.
Анимация, показывающая распространение червя Code Red 19 июля 2001 г. , авторы Джефф Браун, Калифорнийский университет в Сан-Франциско , и Дэвид Мур, CAIDA , в SDSC.

[TrendMicro-1] Тренд Микро. «Предотвращение на предприятии атак смешанного типа и управление ими» (PDF) .

[2] АНАЛИЗ: .ida "Code Red" Worm (архивная копия от 22 июля 2011 г.) , рекомендация Euaa, eEye Digital Security, 17 июля 2001 г.

[caida-3] Перейти обратно: ^а ^б Мур, Дэвид; Шеннон, Коллин (ок. 2001 г.). «Распространение Code-Red Worm (CRv2)» . CAIDA Анализ . Проверено 3 октября 2006 г.

[4] «Открытия – Видео – Распространение кодового красного червя» . Национальный научный фонд .

[5] MS01-033 «Бюллетень по безопасности Microsoft MS01-033: Непроверенный буфер в индексном сервере. Расширение ISAPI может привести к компрометации веб-сервера» , Microsoft Corporation, 18 июня 2001 г.

[6] Лемос, Роб. «Вирулентный червь ставит под сомнение нашу способность защитить Сеть» . Код отслеживания красный . Новости CNET. Архивировано из оригинала 17 июня 2011 года . Проверено 14 марта 2011 г.

[7] «Рекомендация CERT CA-2001-19: червь «Code Red», использующий переполнение буфера в DLL службы индексирования IIS» . CERT/CC . 17 июля 2001 года . Проверено 29 июня 2010 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]