Code Red | |
---|---|
Name | Code Red |
Bekannt seit | 2001 |
Herkunft | Philippinen oder China |
Typ | Netzwerkwurm |
Autoren | unbekannt |
Dateigröße | 58.368 Bytes |
Speicherresident | ja |
Verbreitung | HTTP-Exploit |
System | MS IIS Server |
Info | Version Code Red II erreichte die weiteste Verbreitung |
Code Red ist eine Familie von Computerwürmern, die sich ab dem 12. Juli 2001 im Internet verbreiteten. Die ersten befallenen Rechner wurden am 13. Juli an eEye Digital Security gemeldet, wo Marc Maiffret und Ryan Permeh die erste Analyse durchführten. Den Namen erhielt der Wurm in Referenz zur Defacement-Meldung und nach dem Getränk Mountain Dew Code Red, das die beiden Analysten während der Untersuchung tranken.
Die meisten Infektionen verursachte die zweite Version von Code Red, die über 359.000 Rechner am ersten Tag infizierte. Gefährlicher war der neue Wurm Code Red II, der ab Anfang August kursierte, da er eine Backdoor installierte und sich schneller ausbreitete. Alle Varianten zusammen haben schätzungsweise 760.000 Rechner infiziert. Code Red II verhält sich zwar ähnlich, stammt aber vermutlich von anderen Autoren.
Funktionen
Verbreitung
Die ersten 19 Tage jedes Monats versuchte sich Code Red zu verbreiten, indem er Verbindungen zum Standard-HTTP Port von zufälligen IP-Adressen aufbaute und versuchte einen Pufferüberlauf in der Komponente Index Server des Internet Information Server von Microsoft auszunutzen.
Dieser Angriff wurde durch 100 Unterprozesse parallelisiert. Durch einen Fehler kam es gelegentlich vor, dass auf einem befallenen Server mehr als die vorgesehenen 100 Prozesse gestartet wurden. Dies führte, wie auch die Netzwerklast der Verbreitungsversuche, zu einer Verknappung der Ressourcen.
Auch andere Systeme als der IIS waren betroffen, jedoch führte Code Red nicht zu einer Infizierung. Manche Systeme (z. B. Cisco 600 Serie) stellten aufgrund von Fehlern den Betrieb ein. Microsoft stellte bereits drei Wochen vor Entdeckung des Wurms einen Patch zur Behebung der Lücke bereit. Auch für betroffene Produkte von Cisco existierten vor dem Ausbruch bereits Fehlerbehebungen.
Code Red II verwendete zur Verbreitung die gleiche Sicherheitslücke.
Payload
Neben der Funktion zur Weiterverbreitung enthielt die erste Version von Code Red auch zwei eigentliche Schadfunktionen. Die kompromittierten Rechner starteten eine DDoS-Attacke und führten ein Defacement bei den gehosteten Webseiten aus. Die Aktivität der Funktionen wurde über den Monatstag gesteuert. Ab dem 28. bis zum Ende des Monats führte er keine Aktionen aus.
Code Red II besaß nur eine Schadfunktion. Die Aktivität war nicht vom Datum abhängig. Direkt nach der Infektion des Systems installierte der Wurm eine Backdoor.
Defacement
Wurde ein System befallen, dessen Lokalisierung der der USA entsprach, so änderte der hundertste Prozess sein Verhalten. Er änderte die Installation des IIS so, dass die Seite
HELLO! Welcome to http://www.worm.com!
Hacked By Chinese!
anzeigte. Nach zehn Stunden wurde dieses Defacement wieder rückgängig gemacht.
Denial of Service
Nach der Verbreitung und einem eventuellen Defacement wurde zwischen dem 20. und 27. jedes Monats die zweite Schadfunktion aktiviert. Dabei wurde eine DDoS-Attacke auf eine feste IP-Adresse gestartet, die ursprünglich die der Internetpräsenz des Weißen Hauses war.
Abgesehen von dieser expliziten DDoS-Attacke gab es auch durch die Verbreitungsroutine induzierte Ausfälle.
Backdoor
Der neue Wurm Code Red II installierte eine Backdoor, verzichtete aber auf Defacement und DDoS. Die Nebeneffekte der Verbreitung verstärkten sich aber durch die geänderte Erzeugung der IP-Adressen.
Ausbruchwellen 2001 bis 2003
Die erste Version von Code Red (genauer Net-Worm.Win32.CodeRed.a oder CODERED.A) verbreitete sich nur langsam, da durch einen statisch initialisierten Zufallsgenerator immer die gleichen IP-Adressen infiziert wurden. Erst die zweite Version (CODERED.B) verwendete wirklich zufällige IP-Adressen und befiel am 19. Juli innerhalb von etwa 14 Stunden über 359.000 Rechner. Beide Versionen konnten durch einen Neustart des Rechners entfernt werden.
Code Red II (auch CODERED.C) wurde ebenfalls zu dieser Familie gezählt, da er den Namen referenzierte und die gleiche Sicherheitslücke ausnutzte. Allerdings war er umgeschrieben worden und manche Sicherheitsexperten vermuten einen anderen Autor. Insbesondere hatte er einen ausgefeilteren Algorithmus für die Auswahl der IP-Adresse und die Backdoor war nicht nur im Arbeitsspeicher hinterlegt, sondern wurde nach einer Benutzeranmeldung erneut ausgeführt. Der Wurm deaktivierte sich nach dem 1. Oktober selbst, jedoch gab es bis 2003 verschiedene Weiterentwicklungen. Die Backdoor blieb installiert.
Verursachter Schaden
Der ursprünglich beabsichtigte Angriff auf die Internetpräsenz des Weißen Hauses durch Code Red lief ins Leere, da die Systemadministratoren rechtzeitig die IP-Adresse des Dienstes änderten. Dennoch verursachte er Schaden durch die Ausfälle und die Bekämpfung des Schädlings.
Nach einer Schätzung durch Computer Economics, verursachten die Code Red-Würmer bis Ende August 2001 einen Schaden von mindestens 2,6 Milliarden US-Dollar, wovon 1,1 Milliarden auf die Bekämpfung und 1,5 Milliarden auf Umsatzausfälle fielen.
Code Green
Code Green war ein Nematode (Hilfreicher Wurm oder Anti-Wurm), der Code Red löschte sowie das entsprechende Windows-Sicherheitsupdate automatisch herunterlud und installierte. Anschließend blendete der Wurm eine Meldung ein und informierte den Computerbesitzer über den Vorgang. Dann löschte Code Green sich selbst.
Weblinks
- Computerwürmer. Facharbeit, mit Code Red als Beispiel
- Code Red: DoS Angriff aufs Weiße Haus. Tom’s Hardware
- Hot on the Trail of ‘Code Red’ Worms. EnVision, Vol. 17, No. 3 (englisch)
- Code Red II – Neuer Wurm auch in Deutschland. Spiegel Online netzwelt
Einzelnachweise
- 1 2 Analysis: .ida “Code Red” Worm. eEye Digital Security
- 1 2 3 CAIDA Analysis of Code-Red
- 1 2 Analysis: CodeRed II Worm. eEye Digital Security
- ↑ CAIDA Analysis of Code-Red. Abgerufen am 8. September 2022 (englisch).
- ↑ MS01-033. Microsoft Security Bulletin
- ↑ Cisco Security Advisory: “Code Red” Worm - Customer Impact (Memento vom 14. Juni 2012 im Internet Archive)
- ↑ CODERED.A - Threat Encyclopedia. Abgerufen am 8. September 2022.
- ↑ CODERED.A Trend Micro
- ↑ CODERED.B Trend Micro
- 1 2 CODERED.C Trend Micro
- 1 2 3 F-Secure Virus Descriptions: CodeRed
- ↑ Code Red, Code Red II, and SirCam Attacks Highlight Need for Proactive Measures (PDF; 143 kB) US General Accounting Office
- ↑ Out-Law: Code Red cost $2.6 billion worldwide