Code Red 2 (Yepyeni bir worm)

0
Img 5856
conan
6 Ağustos 2001 , 2 dakika okuma süresi
Evet yeni code red Agustos 4'te başgösterdi. Yapılan açıklamalara göre bu worm daha agresif ve tamamen baştan yazılmış bir worm. Bulaşma yöntemleri farklı olsa da hedef işletim sistemi aynı. Microsoft Windows 2000. (Bu sefer NT ya da 9X değil. Çünkü kullandıkları bir assembly komutu sadece windows 2000 icin geçerliymiş) Unutmadan, bu versiyon yanında bir de trojan taşıyor ;) Gelelim yeni yaramaz kurtçuğun neler yaptığına, nasıl bulaştığına.

Bulaşma: İlk etapta Code Red 2 (CR2) ilk Code Red'in bulastigi buffer overflow hatası yoluyla bulaşıyor. Bulaştığı sistemin Çince olup olmadığını kontrol ettikten sonra daha önce çalışıp çalışmadığını kontrol ediyor. Sonra ilk çalışmasında "ben çalıştım" diye bir işaret bırakıyor. (Tekrar tekrar bulaşmayi engellemek için) Daha sonrasında eger sistem Çince ise 600 değilse 300 tane bulaşma process`i açıyor. Ayrıca yine sistem Çince ise 2 gün değilse 1 gün uyuyor. sürenin sonunda makinayi reboot ediyor.

Yayılma: Kendi kendine bulaşmamak için sistem IP'sini belirliyor. 64h (hex) milisaniye uyukluyor. Sistem tarihini kontrol ediyor ve eğer sistem yılı 2002`den büyük ve de sistem ayı 10'dan küçük ise doğrudan sistemi reboot ettiriyor. [Yani 2001 yılının 10. ayına kadar çalışacak demek ;) Bu zamana kadar hala farkedilemediysem yuh yani demek sanırım bu :)] Bundan sonra ise asıl bulaşma işlemine başlıyor. Random olarak bir IP seçip oraya kendini kopyalamak üzere atak başlatıyor.

Trojan: Basitçe açıklamak gerekirse CR2 C: altında explorer.exe diye bir trojan yaratıyor ve web scriptlerini öyle düzenliyor ki sitenin adresine /c, /d, /e, .... eklediğinizde (Örnek: http://www.infected.site.com/c ) serverin bütün belleklerini [Hard disk, CDROM, hayır RAM değil... ;)] webden gezme imkanınız oluyor. :)

Web server'ınızda CR2 olup olmadığını c: dizininizin altında explorer.exe dosyasını arayarak anlayabilirsiniz. Ayrıca yine loglarınızda XXXXXXXXXXXXX satırını arattırarak saldırı denemelerini görüp eğlenebilirsiniz (ya da ağlayabilirsiniz ;)

İşte benim server`ıma gelen saldırıların sayısı: 

[conan@kingdom conan]$ grep NNNNNNNN /var/log/httpd/* |wc -l
    251
[conan@kingdom conan]$ grep XXXXXXXX /var/log/httpd/* |wc -l
    169
Yani toplam 420! (Şu ana kadar hehe)

Alınacak önlemler code red'e karşı alınacak önlemlerin aynısı. Bana hala sisteminizi yamamadığınızı söylemeyin!! :)

Sweet and secure kalın ;)

Son söz: Bu yazı eeye'in yaptığı incelemenin türkçe versiyonu gibi birşeydir. Orjinal dökümanlar ve de yazdığımdan çok çok daha fazlası bu linkte bulunmaktadır.

Güvenlik
4
Linkedin Facebook Twitter Google plus

Görüşler

anonim
0
anonim
hersey iyi de w2k assembly komutu ne demek onu pek cozemedim, bu wormcuk assembly source unu w2k in built-in assembler?? inde assemble etmeye mi kalkiyor calisinca?

Img 5856
0
conan
Sanirim Turkce hatasi yapmisim. Asil analizi aynen copy paste edeyim. Benden daha iyi acikladigi kesin. ;)

>This worm, like the original Code Red worm,
>will only exploit Windows 2000 web servers
>because it overwrites EIP with a jmp that is
>only correct under Windows 2000. Under NT4.0
>etc... that offset is different so, the process
>will simply crash instead of allowing the worm to
>infect the system and spread.
anonim
0
anonim
ok konu aciklik kazanmistir, tesekkurler,
Img 5856
0
conan
Saldiri sayim 510'a ulasti. Benim gibi baska log okuyan deli varsa paylasalim hehe.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

KAISER, Meltdown, Spectre... Neler oluyor?
tongucyumruk
4 Ocak 2018, 5 dakika okuma süresi

butch kibarca "neler oluyor?" diye sorduktan sonra kısaca son günlerde bilişim dünyasini sallayan, "bulutlarımız ne olacak?", "oyunlar da mı yavaşlayacak?" ve, "Bitcoin alalım mı?" gibi sorulara yol açan haberler üzerine kısa bir Türkçe açıklama yapma ihtiyacı hissettim.

Baştan söyleyeyim, konu üzerine çok derin bilgisi olan bir insan değilim, bu konu...

ATM şifreleme anahtarı kırmak!
conan
9 Kasım 2001, 1 dakika okuma süresi

Bu sayfada yazanlara göre IBM 4758 cryptographic co-processor'unden 3DES anahtarını "çalmayı" başarmışlar.

IBM 4758, bankalar tarafından sıklıkla kullanılan bir şifreleme chipiymiş ve IBM'in ATM'lerinde de sıkça kullanılmaktaymış. Bu crack'i gerçekleştirenler, 20 dakika makinaya kesintisiz ulaşımı ve Combine_Key_Parts kullanım yetkisi olan birinin, 995$'lik bir aletle (FPGA evaluation board from Altera) 2 gün içerisinde bu şifreyi ele geçirebilecegini iddia ediyorlar. (nasıl yapılacağını da bilmesi gerektiğini söylemeyi unuttum sanırım) ;)

RFC 3514
urxalit
10 Nisan 2003, 1 dakika okuma süresi

Netcraft´taki habere göre 1 Nisan 2003 tarihinde yayınlanan RFC 3514 ile ipv4 paketlerine bir güvenlik biti eklenecek ve bu bitin "good" veya "evil" olmasına göre güvenlik duvarları için paketleri droplamak çok kolay ve zahmetsiz olacak.

Eğer bu RFC hayata geçerse, ABD hükümeti (haberde doğrudan ABD hükümet kuruluşları için diyor) kullandığı güvenlik duvarlarını güncelleyip basitçe, kafasını bozan "terörist" ülkelerden gelen paketleri droplayabilir. Tabi Internet trafiğinin neredeyse %80´inin ABD´de aktığı düşünülürse o ülkeye de Interneti bloklamış olur..

İngilizcesi benden iyi olan arkadaşlar belki haberi çevirebilir.

Gizli anahtarlarınızı gizleyemezsiniz!
tongucyumruk
19 Mayıs 2006, 1 dakika okuma süresi

İngiliz ulusal güvenlik ajansı Home Office, 2000 yılında çıkan RIPA adlı yasanın üçüncü bölümündeki bugüne kadar kullanmaya başlamadğı hakkını kullanmak yönünde hazırlıklara başladı. Sözkonusu yasanın üçüncü bölümü İngiliz polisine ihtiyaç duyması halinde kişilerin açık anahtar tabanlı şifreleme uygulamalarında kullanılan gizli anahtarını isteme hakkını tanıyor. Gizli anahtarını teslim etmeyi reddedenler içinse hapis cezası öngörülüyor.

100.000 $ isteyen
anonim
16 Nisan 2002, 1 dakika okuma süresi

$100.000`lık Hacking Yarışması.Korea Digital Works`un düzenlediği yarışma`da firmanın güvenlik programı olan WOKS tarafından korunan servera ilk erişim hakkı kazanan ve ismini sitenin index`ine yazan Hacker`a tam $100.000 ödül verilecek.