Code Red era un gusano informático observado en Internet el 15 de julio de 2001. Atacó equipos que ejecutaban el servidor web IIS de Microsoft . Fue el primer ataque de amenazas mixtas a gran escala dirigido con éxito a las redes empresariales. [1]
Nombre común | Código Rojo |
---|---|
Nombre técnico | CRv y CRvII |
Tipo | Gusano de interferencia del servidor |
Aislamiento | 15 de julio de 2001 |
El gusano Code Red fue descubierto e investigado por primera vez por los empleados de eEye Digital Security, Marc Maiffret y Ryan Permeh, cuando explotó una vulnerabilidad descubierta por Riley Hassell. Lo llamaron "Code Red" porque Code Red Mountain Dew era lo que estaban bebiendo en ese momento. [2]
Aunque el gusano se liberó el 13 de julio, el grupo más grande de computadoras infectadas se vio el 19 de julio de 2001. Ese día, el número de hosts infectados llegó a 359.000. [3]
Concepto
Vulnerabilidad explotada
El gusano mostró una vulnerabilidad en el software en crecimiento distribuido con IIS, descrito en el Boletín de seguridad de Microsoft MS01-033, [4] para el cual había estado disponible un parche un mes antes.
El gusano se propagó utilizando un tipo común de vulnerabilidad conocida como desbordamiento de búfer . Lo hizo usando una cadena larga de la letra repetida 'N' para desbordar un búfer, permitiendo que el gusano ejecute código arbitrario e infecte la máquina con el gusano. Kenneth D. Eichman fue el primero en descubrir cómo bloquearlo y fue invitado a la Casa Blanca para su descubrimiento. [5]
Carga útil de gusano
La carga útil del gusano incluía:
- Dañar el sitio web afectado para que se muestre:
¡HOLA! ¡Bienvenido a http://www.worm.com! ¡Hackeado por chinos!
- Otras actividades basadas en el día del mes: [6]
- Días 1-19: tratando de expandirse buscando más servidores IIS en Internet.
- Días 20 a 27: Lanzamiento de ataques de denegación de servicio en varias direcciones IP fijas . La dirección IP del servidor web de la Casa Blanca se encontraba entre ellas. [3]
- Días 28 al final del mes: Duerme, sin ataques activos.
Cuando buscaba máquinas vulnerables, el gusano no realizaba pruebas para ver si el servidor que se ejecutaba en una máquina remota estaba ejecutando una versión vulnerable de IIS, ni siquiera para ver si estaba ejecutando IIS. Los registros de acceso de Apache de esta época con frecuencia tenían entradas como estas:
OBTENER /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN% u9090% u6858% ucbd3% u7801% u9090% u6858% ucbd3% u7801% u9090% u6858% ucbd3% u7801% u9090% u9090% u8190% u00c3% u0003% u8b00% u531b% u53ff% u0078% u0000% u00 = a HTTP / 1.0
La carga útil del gusano es la cadena que sigue a la última 'N'. Debido a un desbordamiento del búfer, un host vulnerable interpretó esta cadena como instrucciones de computadora, propagando el gusano.
Gusanos similares
El 4 de agosto de 2001 apareció Code Red II . Aunque usaba el mismo vector de inyección, tenía una carga útil completamente diferente . Se seudoaleatoria eligió objetivos en los mismos o diferentes subredes como las máquinas infectadas de acuerdo con una distribución de probabilidad fija, favoreciendo objetivos en su propia subred más a menudo que no. Además, utilizó el patrón de repetición de caracteres 'X' en lugar de caracteres 'N' para desbordar el búfer.
eEye creía que el gusano se originó en Makati , Filipinas , el mismo origen que el gusano VBS / Loveletter (también conocido como "ILOVEYOU").
Ver también
Referencias
- ^ Trend Micro. "Prevención empresarial y gestión de ataques de amenazas mixtas" (PDF) .
- ^ ANÁLISIS: Gusano .ida "Code Red" (copia archivada desde el 22 de julio de 2011) , aviso de Code Red, eEye Digital Security, 17 de julio de 2001
- ^ a b Moore, David; Colleen Shannon (c. 2001). "La propagación del gusano Code-Red (CRv2)" . Análisis CAIDA . Consultado el 3 de octubre de 2006 .
- ^ MS01-033 "Boletín de seguridad de Microsoft MS01-033: El búfer sin marcar en la extensión ISAPI de Index Server podría habilitar el compromiso del servidor web" , Microsoft Corporation, 18 de junio de 2001
- ^ Lemos, Rob. "El gusano virulento pone en duda nuestra capacidad para proteger la Red" . Código de seguimiento rojo . Noticias CNET. Archivado desde el original el 17 de junio de 2011 . Consultado el 14 de marzo de 2011 .
- ^ "Asesor de CERT CA-2001-19: gusano 'Code Red' que explota el desbordamiento del búfer en la DLL del servicio de indexación de IIS" . CERT / CC . 17 de julio de 2001 . Consultado el 29 de junio de 2010 .
enlaces externos
- Análisis de Code Red II , Unixwiz.net de Steve Friedl, última actualización 22 de agosto de 2001
- CAIDA Analysis of Code-Red , Cooperative Association for Internet Data Analysis (CAIDA) en el San Diego Supercomputer Center (SDSC), actualizado en noviembre de 2008
- Animación que muestra la propagación del gusano Code Red el 19 de julio de 2001 , por Jeff Brown, UCSD y David Moore, CAIDA en SDSC