Code Red 2 (Yepyeni bir worm)

0
Img 5856
conan
6 Ağustos 2001 , 2 dakika okuma süresi
Evet yeni code red Agustos 4'te başgösterdi. Yapılan açıklamalara göre bu worm daha agresif ve tamamen baştan yazılmış bir worm. Bulaşma yöntemleri farklı olsa da hedef işletim sistemi aynı. Microsoft Windows 2000. (Bu sefer NT ya da 9X değil. Çünkü kullandıkları bir assembly komutu sadece windows 2000 icin geçerliymiş) Unutmadan, bu versiyon yanında bir de trojan taşıyor ;) Gelelim yeni yaramaz kurtçuğun neler yaptığına, nasıl bulaştığına.

Bulaşma: İlk etapta Code Red 2 (CR2) ilk Code Red'in bulastigi buffer overflow hatası yoluyla bulaşıyor. Bulaştığı sistemin Çince olup olmadığını kontrol ettikten sonra daha önce çalışıp çalışmadığını kontrol ediyor. Sonra ilk çalışmasında "ben çalıştım" diye bir işaret bırakıyor. (Tekrar tekrar bulaşmayi engellemek için) Daha sonrasında eger sistem Çince ise 600 değilse 300 tane bulaşma process`i açıyor. Ayrıca yine sistem Çince ise 2 gün değilse 1 gün uyuyor. sürenin sonunda makinayi reboot ediyor.

Yayılma: Kendi kendine bulaşmamak için sistem IP'sini belirliyor. 64h (hex) milisaniye uyukluyor. Sistem tarihini kontrol ediyor ve eğer sistem yılı 2002`den büyük ve de sistem ayı 10'dan küçük ise doğrudan sistemi reboot ettiriyor. [Yani 2001 yılının 10. ayına kadar çalışacak demek ;) Bu zamana kadar hala farkedilemediysem yuh yani demek sanırım bu :)] Bundan sonra ise asıl bulaşma işlemine başlıyor. Random olarak bir IP seçip oraya kendini kopyalamak üzere atak başlatıyor.

Trojan: Basitçe açıklamak gerekirse CR2 C: altında explorer.exe diye bir trojan yaratıyor ve web scriptlerini öyle düzenliyor ki sitenin adresine /c, /d, /e, .... eklediğinizde (Örnek: http://www.infected.site.com/c ) serverin bütün belleklerini [Hard disk, CDROM, hayır RAM değil... ;)] webden gezme imkanınız oluyor. :)

Web server'ınızda CR2 olup olmadığını c: dizininizin altında explorer.exe dosyasını arayarak anlayabilirsiniz. Ayrıca yine loglarınızda XXXXXXXXXXXXX satırını arattırarak saldırı denemelerini görüp eğlenebilirsiniz (ya da ağlayabilirsiniz ;)

İşte benim server`ıma gelen saldırıların sayısı: 

[conan@kingdom conan]$ grep NNNNNNNN /var/log/httpd/* |wc -l
    251
[conan@kingdom conan]$ grep XXXXXXXX /var/log/httpd/* |wc -l
    169
Yani toplam 420! (Şu ana kadar hehe)

Alınacak önlemler code red'e karşı alınacak önlemlerin aynısı. Bana hala sisteminizi yamamadığınızı söylemeyin!! :)

Sweet and secure kalın ;)

Son söz: Bu yazı eeye'in yaptığı incelemenin türkçe versiyonu gibi birşeydir. Orjinal dökümanlar ve de yazdığımdan çok çok daha fazlası bu linkte bulunmaktadır.

Güvenlik
4
Linkedin Facebook Twitter Google plus

Görüşler

anonim
0
anonim
hersey iyi de w2k assembly komutu ne demek onu pek cozemedim, bu wormcuk assembly source unu w2k in built-in assembler?? inde assemble etmeye mi kalkiyor calisinca?

Img 5856
0
conan
Sanirim Turkce hatasi yapmisim. Asil analizi aynen copy paste edeyim. Benden daha iyi acikladigi kesin. ;)

>This worm, like the original Code Red worm,
>will only exploit Windows 2000 web servers
>because it overwrites EIP with a jmp that is
>only correct under Windows 2000. Under NT4.0
>etc... that offset is different so, the process
>will simply crash instead of allowing the worm to
>infect the system and spread.
anonim
0
anonim
ok konu aciklik kazanmistir, tesekkurler,
Img 5856
0
conan
Saldiri sayim 510'a ulasti. Benim gibi baska log okuyan deli varsa paylasalim hehe.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

RFC 3514
urxalit
10 Nisan 2003, 1 dakika okuma süresi

Netcraft´taki habere göre 1 Nisan 2003 tarihinde yayınlanan RFC 3514 ile ipv4 paketlerine bir güvenlik biti eklenecek ve bu bitin "good" veya "evil" olmasına göre güvenlik duvarları için paketleri droplamak çok kolay ve zahmetsiz olacak.

Eğer bu RFC hayata geçerse, ABD hükümeti (haberde doğrudan ABD hükümet kuruluşları için diyor) kullandığı güvenlik duvarlarını güncelleyip basitçe, kafasını bozan "terörist" ülkelerden gelen paketleri droplayabilir. Tabi Internet trafiğinin neredeyse %80´inin ABD´de aktığı düşünülürse o ülkeye de Interneti bloklamış olur..

İngilizcesi benden iyi olan arkadaşlar belki haberi çevirebilir.

Teröristlerin Şifreleri Kırıldı
FZ
23 Ocak 2002, 1 dakika okuma süresi

Windows 2000'in ABD dışına ihraç edilen versiyonlarındaki şifreleme güvenliğini merak edenler için önemli bir haber: Kuzey İttifakı tarafından Kabul'de ele geçirilen ve El Kaide'deki karargahtan çıkarıldığı bilinen iki bilgisayarda birtakım şifreli belgeler bulundu. Kaynak:Vunet

Bilgisayarlardaki binlerce dokümanı inceleyen Washington Post gazetesi yetkilileri, Windows 2000 40-bit DES sistemi ile şifrelenmiş belgelere rastladılar. Bir bilgisayar kümesi (computer cluster) kullanılıp 1.000.000.000.000 değişik anahtar denenerek 5 gün içinde söz konusu şifre kırıldı ve belgelerin içeriğine ulaşıldı.

Bu belgeler 128 bitlik anahtarlar ile şifrelenmiş olsalardı, aynı şifreyi çözmek yaklaşık 1.000.000.000 kez daha zor olacaktı!

WhatsApp, Signal, BlackBerry Messenger ve Diğerleri: Hangisini Kullanmalı? Neden? #1
Zakkum
2 Mart 2017, 17 dakika okuma süresi

İnternetin her geçen gün daha fazla hayatımızın içine girmesi güvenlik konusunu daha sık ve geniş ölçekte tartışılır hale getirdi. Özellikle son yıllarda internet üzerinden gerçekleşen ifşa hareketleri (Wikileaks, Snowden, Panama Belgeleri vs.) konuyu haliyle daha da alevlendirdi. Bugün artık herhangi bir şüpheye yer bırakmadan biliyoruz ki kullandığımız internet artık bir kitlesel gözetleme...

Kıyamet ertesi
conan
28 Ocak 2003, 3 dakika okuma süresi

Evet hepimiz biliyoruz ki SQ_Hell, Slammer, veya ne isim verirseniz bu kurtçuk Internet'i hafta sonundan itibaren esir aldı. Bizlere fazlamesai yaptırdı, bolbol küfür ettirirken bazı şeylere de dikkatimizi çekmeyi sağladı. Örneğin patch ne demek bir kere daha ögrendik. Ya da geç kalınmış ve tamamen test edilmemiş SP'lerin insanların başına neler getirebildiğini gördük. Ama bunlardan bahsetmeyeceğim. Bahsedeceğim şey neden Internetin bu problemden dolayı durma aşamasına geldiği?

CryptoAPI ile Verilerimizi Güvenlik Altına Alalım (ama nasıl?)
anonim
7 Nisan 2003, 13 dakika okuma süresi

21. yüzyılda yaşadığımızı göz önüne alarak artık hepimizin mümkün olduğunca Telnet yerine SSH, FTP yerine SFTP ve HTTP yerine HTTPS kullanarak verilerimizin Internet üzerinde bir noktadan bir noktaya ulaştırılması sırasında yol üzerinde pusuya yatmış karanlık şahıslar tarafından ele geçirilmesini engellediğimizi sanıyorum. Eğer bunu yapmıyorsanız, bu karanlık şahıslara fırsat verdiğiniz için er ya da geç Nasreddin Hoca'nın başına gelen "Peki ama hırsızın hiç mi suçu yok?" durumuna düşmeniz kaçınılmazdır...