Code Red 2 (Yepyeni bir worm)

0
Img 5856
conan
6 Ağustos 2001 , 2 dakika okuma süresi
Evet yeni code red Agustos 4'te başgösterdi. Yapılan açıklamalara göre bu worm daha agresif ve tamamen baştan yazılmış bir worm. Bulaşma yöntemleri farklı olsa da hedef işletim sistemi aynı. Microsoft Windows 2000. (Bu sefer NT ya da 9X değil. Çünkü kullandıkları bir assembly komutu sadece windows 2000 icin geçerliymiş) Unutmadan, bu versiyon yanında bir de trojan taşıyor ;) Gelelim yeni yaramaz kurtçuğun neler yaptığına, nasıl bulaştığına.

Bulaşma: İlk etapta Code Red 2 (CR2) ilk Code Red'in bulastigi buffer overflow hatası yoluyla bulaşıyor. Bulaştığı sistemin Çince olup olmadığını kontrol ettikten sonra daha önce çalışıp çalışmadığını kontrol ediyor. Sonra ilk çalışmasında "ben çalıştım" diye bir işaret bırakıyor. (Tekrar tekrar bulaşmayi engellemek için) Daha sonrasında eger sistem Çince ise 600 değilse 300 tane bulaşma process`i açıyor. Ayrıca yine sistem Çince ise 2 gün değilse 1 gün uyuyor. sürenin sonunda makinayi reboot ediyor.

Yayılma: Kendi kendine bulaşmamak için sistem IP'sini belirliyor. 64h (hex) milisaniye uyukluyor. Sistem tarihini kontrol ediyor ve eğer sistem yılı 2002`den büyük ve de sistem ayı 10'dan küçük ise doğrudan sistemi reboot ettiriyor. [Yani 2001 yılının 10. ayına kadar çalışacak demek ;) Bu zamana kadar hala farkedilemediysem yuh yani demek sanırım bu :)] Bundan sonra ise asıl bulaşma işlemine başlıyor. Random olarak bir IP seçip oraya kendini kopyalamak üzere atak başlatıyor.

Trojan: Basitçe açıklamak gerekirse CR2 C: altında explorer.exe diye bir trojan yaratıyor ve web scriptlerini öyle düzenliyor ki sitenin adresine /c, /d, /e, .... eklediğinizde (Örnek: http://www.infected.site.com/c ) serverin bütün belleklerini [Hard disk, CDROM, hayır RAM değil... ;)] webden gezme imkanınız oluyor. :)

Web server'ınızda CR2 olup olmadığını c: dizininizin altında explorer.exe dosyasını arayarak anlayabilirsiniz. Ayrıca yine loglarınızda XXXXXXXXXXXXX satırını arattırarak saldırı denemelerini görüp eğlenebilirsiniz (ya da ağlayabilirsiniz ;)

İşte benim server`ıma gelen saldırıların sayısı: 

[conan@kingdom conan]$ grep NNNNNNNN /var/log/httpd/* |wc -l
    251
[conan@kingdom conan]$ grep XXXXXXXX /var/log/httpd/* |wc -l
    169
Yani toplam 420! (Şu ana kadar hehe)

Alınacak önlemler code red'e karşı alınacak önlemlerin aynısı. Bana hala sisteminizi yamamadığınızı söylemeyin!! :)

Sweet and secure kalın ;)

Son söz: Bu yazı eeye'in yaptığı incelemenin türkçe versiyonu gibi birşeydir. Orjinal dökümanlar ve de yazdığımdan çok çok daha fazlası bu linkte bulunmaktadır.

Güvenlik
4
Linkedin Facebook Twitter Google plus

Görüşler

anonim
0
anonim
hersey iyi de w2k assembly komutu ne demek onu pek cozemedim, bu wormcuk assembly source unu w2k in built-in assembler?? inde assemble etmeye mi kalkiyor calisinca?

Img 5856
0
conan
Sanirim Turkce hatasi yapmisim. Asil analizi aynen copy paste edeyim. Benden daha iyi acikladigi kesin. ;)

>This worm, like the original Code Red worm,
>will only exploit Windows 2000 web servers
>because it overwrites EIP with a jmp that is
>only correct under Windows 2000. Under NT4.0
>etc... that offset is different so, the process
>will simply crash instead of allowing the worm to
>infect the system and spread.
anonim
0
anonim
ok konu aciklik kazanmistir, tesekkurler,
Img 5856
0
conan
Saldiri sayim 510'a ulasti. Benim gibi baska log okuyan deli varsa paylasalim hehe.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Procmail ve MS Outlook Wormları
sundance
10 Haziran 2002, 1 dakika okuma süresi

Procmail`ın iddia ettiğine göre (rakamları CNNfn`den almışlar) MS Outlook Wormları yüzünden 2001 yılı Ağustos ayına kadar olan tahmini zarar $8 milyar dolar kadar :)

\r \r Eğer siz de bu kaybın bir parçasını yaşamak istemiyorsanız (ve inatla MS Outlook kullanmaya devam etmek istiyorsanız; (iyi de FM okumuyorsunuz anlamına geliyor bu... neyse :p) Procmail-Sanitizer iyi bir çözüm olabilir. Tavsiye ederim.

SHA-1 Kırıldı!
tongucyumruk
24 Ocak 2007, 1 dakika okuma süresi

Elektronik bankacılık uygulamalarından dijital imzaya, kablosuz ağ güvenliğinden binlerce web sitesinin kullanıcı veritabanlarına kadar güvenliğe ihtiyaç duyulan birçok noktada kullanılan ve günümüze kadar başta ABD olmak üzere birçok ülke tarafından "resmi" harmanlama (hashing) algoritması olarak kullanılan SHA-1 Çinli bir bir bilim insanı ve ekibi tarafından kırıldı.

Açık Kaynağın Yararları
Soulblighter
20 Şubat 2004, 1 dakika okuma süresi

Geçen hafta çalınan Windows 2000 kaynak kodlarını inceleyen iyi niyetli :) bir yazılımcı, IE 5 gözatıcısında açık tespit etti.

Bu açık kullanılarak, bitmap dosyası ile (ne alakaysa, klasik M$ açığı) kullanıcının bilgisayarında aşırı yüklenme meydana getirilebiliyor. Açığı bulan yazılımcı, haberi www.securitytracker.com adresinde duyurdu.

Bir ICQ hackerı ile röportaj
sundance
25 Aralık 2001, 9 dakika okuma süresi

Hep merak etmişimdir, neden ICQ numaraları çalınır, insanlar bunu niye yapar vs. diye.

Hayal meyal hatırlıyorum Robin`in ICQ numarasının çalınmış olduğunu, bugün de onu online görünce, hemen `naber` dedim, gelen cevap ilginçti

`Ben sandığın kişi değilim onun ICQ`sunu hackledim`

Bunun üstüne de çok ilginç bir sohbet başladı... Siz hiç altı haneli bir ICQ numarasının $200 gibi paralara satılabildiğini biliyor muydunuz ? Ben bilmiyordum :) (Ed: 31/12/2001 itibariyle Robin ICQ numarasını geri almış bulunmakta :)

Paralı Askerler 3.Dünya Savaşını`mı Başlattı ?
sundance
10 Mart 2001, 1 dakika okuma süresi

8 Mart günü yaklaşık 40 kadar Amerikan e-ticaret sitesi Rusya ve Ukrayna`dan kaynaklandığı tahmin edilen saldırılara uğradı.
Reuters`in verdiği habere göre saldırıya uğrayan sitelerin hepsi de Microsoft Windows NT işletim sistemindeki bir zayıflık yüzünden zarar gördüler. FBI`ın bildirdiğine göre sözkonusu problem 1998 yılında tespit edilmiş ve gerektiği gibi patchlenmiş.
Security Focus`un haberi oldukça ilginç detaylar içeriyor. Yaklaşık 1 milyon kullanıcının kredi kartı bilgileri Mafya`nın elinde tahminen.