Code Red
Name Code Red
Bekannt seit 2001
Herkunft Philippinen oder China
Typ Netzwerkwurm
Autoren unbekannt
Dateigröße 58.368 Bytes
Speicherresident ja
Verbreitung HTTP-Exploit
System MS IIS Server
Info Version Code Red II erreichte
die weiteste Verbreitung

Code Red ist eine Familie von Computerwürmern, die sich ab dem 12. Juli 2001 im Internet verbreiteten. Die ersten befallenen Rechner wurden am 13. Juli an eEye Digital Security gemeldet, wo Marc Maiffret und Ryan Permeh die erste Analyse durchführten. Den Namen erhielt der Wurm in Referenz zur Defacement-Meldung und nach dem Getränk Mountain Dew Code Red, das die beiden Analysten während der Untersuchung tranken.

Die meisten Infektionen verursachte die zweite Version von Code Red, die über 359.000 Rechner am ersten Tag infizierte. Gefährlicher war der neue Wurm Code Red II, der ab Anfang August kursierte, da er eine Backdoor installierte und sich schneller ausbreitete. Alle Varianten zusammen haben schätzungsweise 760.000 Rechner infiziert. Code Red II verhält sich zwar ähnlich, stammt aber vermutlich von anderen Autoren.

Funktionen

Verbreitung

Die ersten 19 Tage jedes Monats versuchte sich Code Red zu verbreiten, indem er Verbindungen zum Standard-HTTP Port von zufälligen IP-Adressen aufbaute und versuchte einen Pufferüberlauf in der Komponente Index Server des Internet Information Server von Microsoft auszunutzen.

Dieser Angriff wurde durch 100 Unterprozesse parallelisiert. Durch einen Fehler kam es gelegentlich vor, dass auf einem befallenen Server mehr als die vorgesehenen 100 Prozesse gestartet wurden. Dies führte, wie auch die Netzwerklast der Verbreitungsversuche, zu einer Verknappung der Ressourcen.

Auch andere Systeme als der IIS waren betroffen, jedoch führte Code Red nicht zu einer Infizierung. Manche Systeme (z. B. Cisco 600 Serie) stellten aufgrund von Fehlern den Betrieb ein. Microsoft stellte bereits drei Wochen vor Entdeckung des Wurms einen Patch zur Behebung der Lücke bereit. Auch für betroffene Produkte von Cisco existierten vor dem Ausbruch bereits Fehlerbehebungen.

Code Red II verwendete zur Verbreitung die gleiche Sicherheitslücke.

Payload

Neben der Funktion zur Weiterverbreitung enthielt die erste Version von Code Red auch zwei eigentliche Schadfunktionen. Die kompromittierten Rechner starteten eine DDoS-Attacke und führten ein Defacement bei den gehosteten Webseiten aus. Die Aktivität der Funktionen wurde über den Monatstag gesteuert. Ab dem 28. bis zum Ende des Monats führte er keine Aktionen aus.

Code Red II besaß nur eine Schadfunktion. Die Aktivität war nicht vom Datum abhängig. Direkt nach der Infektion des Systems installierte der Wurm eine Backdoor.

Defacement

Wurde ein System befallen, dessen Lokalisierung der der USA entsprach, so änderte der hundertste Prozess sein Verhalten. Er änderte die Installation des IIS so, dass die Seite

HELLO! Welcome to http://www.worm.com!
Hacked By Chinese!

anzeigte. Nach zehn Stunden wurde dieses Defacement wieder rückgängig gemacht.

Denial of Service

Nach der Verbreitung und einem eventuellen Defacement wurde zwischen dem 20. und 27. jedes Monats die zweite Schadfunktion aktiviert. Dabei wurde eine DDoS-Attacke auf eine feste IP-Adresse gestartet, die ursprünglich die der Internetpräsenz des Weißen Hauses war.

Abgesehen von dieser expliziten DDoS-Attacke gab es auch durch die Verbreitungsroutine induzierte Ausfälle.

Backdoor

Der neue Wurm Code Red II installierte eine Backdoor, verzichtete aber auf Defacement und DDoS. Die Nebeneffekte der Verbreitung verstärkten sich aber durch die geänderte Erzeugung der IP-Adressen.

Ausbruchwellen 2001 bis 2003

Die erste Version von Code Red (genauer Net-Worm.Win32.CodeRed.a oder CODERED.A) verbreitete sich nur langsam, da durch einen statisch initialisierten Zufallsgenerator immer die gleichen IP-Adressen infiziert wurden. Erst die zweite Version (CODERED.B) verwendete wirklich zufällige IP-Adressen und befiel am 19. Juli innerhalb von etwa 14 Stunden über 359.000 Rechner. Beide Versionen konnten durch einen Neustart des Rechners entfernt werden.

Code Red II (auch CODERED.C) wurde ebenfalls zu dieser Familie gezählt, da er den Namen referenzierte und die gleiche Sicherheitslücke ausnutzte. Allerdings war er umgeschrieben worden und manche Sicherheitsexperten vermuten einen anderen Autor. Insbesondere hatte er einen ausgefeilteren Algorithmus für die Auswahl der IP-Adresse und die Backdoor war nicht nur im Arbeitsspeicher hinterlegt, sondern wurde nach einer Benutzeranmeldung erneut ausgeführt. Der Wurm deaktivierte sich nach dem 1. Oktober selbst, jedoch gab es bis 2003 verschiedene Weiterentwicklungen. Die Backdoor blieb installiert.

Verursachter Schaden

Der ursprünglich beabsichtigte Angriff auf die Internetpräsenz des Weißen Hauses durch Code Red lief ins Leere, da die Systemadministratoren rechtzeitig die IP-Adresse des Dienstes änderten. Dennoch verursachte er Schaden durch die Ausfälle und die Bekämpfung des Schädlings.

Nach einer Schätzung durch Computer Economics, verursachten die Code Red-Würmer bis Ende August 2001 einen Schaden von mindestens 2,6 Milliarden US-Dollar, wovon 1,1 Milliarden auf die Bekämpfung und 1,5 Milliarden auf Umsatzausfälle fielen.

Code Green

Code Green war ein Nematode (Hilfreicher Wurm oder Anti-Wurm), der Code Red löschte sowie das entsprechende Windows-Sicherheitsupdate automatisch herunterlud und installierte. Anschließend blendete der Wurm eine Meldung ein und informierte den Computerbesitzer über den Vorgang. Dann löschte Code Green sich selbst.

Einzelnachweise

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.