Code Red 2 (Yepyeni bir worm)

0
Img 5856
conan
6 Ağustos 2001 , 2 dakika okuma süresi
Evet yeni code red Agustos 4'te başgösterdi. Yapılan açıklamalara göre bu worm daha agresif ve tamamen baştan yazılmış bir worm. Bulaşma yöntemleri farklı olsa da hedef işletim sistemi aynı. Microsoft Windows 2000. (Bu sefer NT ya da 9X değil. Çünkü kullandıkları bir assembly komutu sadece windows 2000 icin geçerliymiş) Unutmadan, bu versiyon yanında bir de trojan taşıyor ;) Gelelim yeni yaramaz kurtçuğun neler yaptığına, nasıl bulaştığına.

Bulaşma: İlk etapta Code Red 2 (CR2) ilk Code Red'in bulastigi buffer overflow hatası yoluyla bulaşıyor. Bulaştığı sistemin Çince olup olmadığını kontrol ettikten sonra daha önce çalışıp çalışmadığını kontrol ediyor. Sonra ilk çalışmasında "ben çalıştım" diye bir işaret bırakıyor. (Tekrar tekrar bulaşmayi engellemek için) Daha sonrasında eger sistem Çince ise 600 değilse 300 tane bulaşma process`i açıyor. Ayrıca yine sistem Çince ise 2 gün değilse 1 gün uyuyor. sürenin sonunda makinayi reboot ediyor.

Yayılma: Kendi kendine bulaşmamak için sistem IP'sini belirliyor. 64h (hex) milisaniye uyukluyor. Sistem tarihini kontrol ediyor ve eğer sistem yılı 2002`den büyük ve de sistem ayı 10'dan küçük ise doğrudan sistemi reboot ettiriyor. [Yani 2001 yılının 10. ayına kadar çalışacak demek ;) Bu zamana kadar hala farkedilemediysem yuh yani demek sanırım bu :)] Bundan sonra ise asıl bulaşma işlemine başlıyor. Random olarak bir IP seçip oraya kendini kopyalamak üzere atak başlatıyor.

Trojan: Basitçe açıklamak gerekirse CR2 C: altında explorer.exe diye bir trojan yaratıyor ve web scriptlerini öyle düzenliyor ki sitenin adresine /c, /d, /e, .... eklediğinizde (Örnek: http://www.infected.site.com/c ) serverin bütün belleklerini [Hard disk, CDROM, hayır RAM değil... ;)] webden gezme imkanınız oluyor. :)

Web server'ınızda CR2 olup olmadığını c: dizininizin altında explorer.exe dosyasını arayarak anlayabilirsiniz. Ayrıca yine loglarınızda XXXXXXXXXXXXX satırını arattırarak saldırı denemelerini görüp eğlenebilirsiniz (ya da ağlayabilirsiniz ;)

İşte benim server`ıma gelen saldırıların sayısı: 

[conan@kingdom conan]$ grep NNNNNNNN /var/log/httpd/* |wc -l
    251
[conan@kingdom conan]$ grep XXXXXXXX /var/log/httpd/* |wc -l
    169
Yani toplam 420! (Şu ana kadar hehe)

Alınacak önlemler code red'e karşı alınacak önlemlerin aynısı. Bana hala sisteminizi yamamadığınızı söylemeyin!! :)

Sweet and secure kalın ;)

Son söz: Bu yazı eeye'in yaptığı incelemenin türkçe versiyonu gibi birşeydir. Orjinal dökümanlar ve de yazdığımdan çok çok daha fazlası bu linkte bulunmaktadır.

Güvenlik
4
Linkedin Facebook Twitter Google plus

Görüşler

anonim
0
anonim
hersey iyi de w2k assembly komutu ne demek onu pek cozemedim, bu wormcuk assembly source unu w2k in built-in assembler?? inde assemble etmeye mi kalkiyor calisinca?

Img 5856
0
conan
Sanirim Turkce hatasi yapmisim. Asil analizi aynen copy paste edeyim. Benden daha iyi acikladigi kesin. ;)

>This worm, like the original Code Red worm,
>will only exploit Windows 2000 web servers
>because it overwrites EIP with a jmp that is
>only correct under Windows 2000. Under NT4.0
>etc... that offset is different so, the process
>will simply crash instead of allowing the worm to
>infect the system and spread.
anonim
0
anonim
ok konu aciklik kazanmistir, tesekkurler,
Img 5856
0
conan
Saldiri sayim 510'a ulasti. Benim gibi baska log okuyan deli varsa paylasalim hehe.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Windows XP kullanıcılarına hodri meydan!
sundance
20 Kasım 2002, 11 dakika okuma süresi

Geçtiğimiz günlerde FZ`nin yorumlarından birinde inanılmaz irkildiğimiz bir yazıya:` Windows XP Microsoft`un Nereye Gittiğinin İşareti!` rastladık. Yorumlarda kaybolup gitmesine gönlümüzün razı olmadığı bu yazının büyük bir bölümünü Türkçe`ye çevirip yayınlama ihtiyacı duyduk. Bu yazıda

-Windows XP`nin Internet`e birçok sebeple kullanıcının kontrolü dışında bağlandığı
-Eğer bu bağlantılara izin verilmezse fonksionların bir kısmının kapandığını
-Lisans anlaşması gereği herhangibir MS patchi install eden kullanıcıların makinalarının yönetim haklarını yasal olarak MS`a devrettiği
gibi saçmasapan iddialar var. FM`i takip eden Microsoft Profesyonelleri`nden bu yazıyı okuyup bizleri aydınlatmalarını rica ediyoruz. İnanıyoruz ki bu kadar yoğun kullanılan, başarılı bir işletim sistemi hakkında böyle asılsız ithamlar yapılıyorsa gerektiği şekilde cevap verilmeli ;)

Lastik Hortum Kriptanalizi: Türk Usulü Şifre Çözme - Ya Seve Seve Ya ...
muhuk
29 Ekim 2008, 1 dakika okuma süresi

Böyle haberlerle anılmak çok üzücü. Bruce Schneier'ın yazısından kısa bir alıntı yaparak yorumlara dikkatinizi çekmek istiyorum: 
Cryptographers have long joked about rubber-hose cryptanalysis: basically, beating the keys out of someone. Seems that this might have actually happened in Turkey

Yeni bir MD5 çakışması daha
ndemir
11 Haziran 2005, 1 dakika okuma süresi

3 ay önce Arjen Lenstra (Lucent Bell Labs and Technische Universiteit Eindhoven), Xiaoyun Wang (Shandong University, Jinan, China) ve Benne de Weger (Technische Universiteit Eindhoven) aynı MD5 çıktısını üreten iki tane X.509 sertifakası bulmuştu.

Ve bir MD5 çakışması daha bulundu.

DES Öldü! Yaşasın AES (ya da Triple DES)
anonim
7 Ağustos 2004, 1 dakika okuma süresi

Olympos'da yer alan bir habere göre NIST Amerikan hükümetine satılan yazılımlarda kullanımı ile ilgili olarak Data Encryption Standard (DES) sertifikasının geçersiz kılınmasını teklif etmiş.

Metasploit artık Rapid7'nin
caiaphas_
23 Ekim 2009, 1 dakika okuma süresi

Uzun zamandan beri hem UNIX hem de WIN32 üzerinde başarı ile çalışan ve tüm otoriteler tarafından da en çok tercih edilen penetrasyon aracı olan Metasploit Rapid7 tarafından satın alındı.

Açık kaynak desteğinin devam edip etmeyeceği Metasploit tarafından yapılan açıklama ile netlik kazandı. Metasploit açık kaynak kod üretmeye devam edecek, bunun yanında Rapid7'nin güvenlik açığı tarama ürünü olan NeXpose ile de entegre edilecek. Habere göre HD Moore dahil pek çok Metasploit geliştiricisinin Rapid7 ekibine katıldığı da ayrıca belirtiliyor. HD bundan sonra güvenlik şefi olarak görevine devam edecek.