RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS-ALR-10082001

CODE RED II

[CAIS, 10.08.2001, revisão 01]


O CAIS está acompanhando de perto a evolução do worm CodeRed e novos e importantes fatos devem ser destacados:

O worm CodeRed II

Foi identificada no dia 04/08/2001 uma nova versão do worm CodeRed (versão II) cuja única semelhança com o CodeRed I é a utilização da mesma vulnerabilidade descrita no seguinte alerta da Microsoft:

http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx

Deve-se distinguir esta nova versão das três variantes do código anterior. Sua principal característica é a de instalar um backdoor na máquina atacada. Este backdoor permite ao atacante executar comandos arbitrários na máquina invadida. Isto torna esta nova versão do CodeRed muito mais perigosa que a anterior e variantes.

Um segundo ponto importante a ser considerado é que, a aplicação da correção na maquina infectada e a posterior reinicialização do sistema, tal como tinha sido recomendado no caso das versões anteriores do CodeRed, não é mais garantia de que o problema tenha sido sanado. Nesta nova versão, mesmo seguindo o procedimetno descrito, o backdoor continuará presente.

Nota:

Segundo o site www.eeye.com, máquinas rodando Windows NT com IIS teriam problemas na execução do worm, o que eventulamente poderia ocasionar a parada total do sistema ou a indisponibilização do servico web. Já máquinas rodando Windows 2000 estão comprovadamente sujeitas à execução do código e à instalação do backdoor.

O Backdoor – Como ele funciona?

O Worm CodeRed II copia o arquivo CMD.EXE para os seguintes locais:

c:inetpubscriptsroot.exe
c:progra~1common~1systemMSADCroot.exe
d:inetpubscriptsroot.exe
d:progra~1common~1systemMSADCroot.exe

Sendo que os folders scripts e MSADC possuem permissão de execução, ao
copiar o arquivo CMD.EXE para estes folders, é possível que o atacante
execute remotamente comandos arbitrários ao incluí-los na requisição da
página, como segue:

http://IpAddress/c/inetpub/scripts/root.exe?/c+Comando_Arbitrario

Esta técnica de ataque é bastante conhecida e comumente utilizada contra
sistemas Windows+IIS.

O Trojan EXPLORER.EXE

A nova versão do Code Red possui uma versão alterada do arquivo explorer.exe que é instalada em c:explorer.exe e d:explorer.exe. Quando um usuário logar na máquina a versão alterada será inicializada a não ser que a máquina possua instalado a correção contra a vulnerabilidade de shell relativo. Para maiores informações sobre esta vulnerabilidade deve-se acessar:

http://www.microsoft.com/technet/security/bulletin/MS00-052.mspx

Assinaturas do ataque

A seguir, dois exemplos do conteúdo do pacote do CodeRed II:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%
u8b00%u531b%u53ff%u0078%u0000%u00=a

/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%
u8b00%u531b%u53ff%u0078%u0000%u00=a

As últimas regras do Snort para o CodeRed I ainda detectam estes pacotes, e são consideradas válidas para as diferentes versões e variantes:

Code Red:

alert tcp any any -> any 80 (msg: "CodeRed Worm Defacement Sent";
flags:PA+; content: "|FF8B8D64 FEFFFF0F BE1185D2 7402EBD3|";
depth:16;)

alert tcp any any <> any 80 (msg: "CodeRed IDA Overflow"; dsize: >239;
flags: A+; content:"|2F646566 61756C74 2E696461 3F4E4E4E|";)

No entanto, foram desenvolvidas novas regras para ajudar na identificação da versão que ainda está ativa.

Code Red II:

alert tcp any any <> any 80 (msg: "CodeRed IDA Overflow"; dsize: >239;
flags: A+; content:"|2F646566 61756C74 2E696461 3F585858|";)

Assim também, foi disponibilizada uma regra para identificar atividade da ferramenta Eeye Scanner, que identifica máquinas vulneráveis:

eEye's Code Red scanner:

alert tcp any any -> any 80 (msg: "Eeye Scanner for CodeRed"; dsize:
239; flags: A+; content:"|2F782e69 64613f41 41414141|"; depth:64;)

Em relação à ativiadade do backdoor, o IDS Snort já possuía uma assinatura para detectar tentativas de execução do CMD.EXE (mecanismo utilizado pelo backdoor do RedCode II), ela é:

web-misc.rules:alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
(msg:"WEB-MISC cmd.exe attempt";flags: A+; content:"cmd.exe"; nocase;)

O alerta gerado segue:

[**] WEB-MISC cmd.exe attempt [**]
08/09-02:21:18.905636 194.7.85.211:4560 -> 200.136.239.119:80
TCP TTL:109 TOS:0x0 ID:20089 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x46A4EB59 Ack: 0x27CE7142 Win: 0x4470 TcpLen: 20

Propagação do worm

Uma peculiariedade no processo de propagação do CodeRed II é que ele leva em conta se a linguagem instalada no sistema Windows é chinês ou nao. Se for chinês o worm criará 600 processos e tentará propagar-se por um período de 48 horas. Caso contrário, o worm criará 300 processos e
tentará propagar-se nas próximas 24 horas.

Após este tempo de propagação o Worm irá reinicializar a máquina que retira da memória o Worm mas deixa o backdoor e o trojan instalados. Esta incialização serve tambem para recarregar o IIS com as alterações feitas pelo Worm.

O efeito "Flooding"

Devido ao fato do worm preferencialmente atacar IPs que estão alocados na mesma proximidade de faixa IP e juntamente com o tráfego gerado por 300/600 processos sendo executados em paralelo, o worm está gerando um enorme número de requisições ARP para cada máquina infectada. Se muitas máquinas no mesmo segmento estiverem infectadas e ativas tentanto propagar-se, o número de requisições ARP pode ser tão alto que haverá uma degradação no desempenho da rede, conseqüentemente, máquinas podem ser vítimas de DoS (ataque de negação de serviço).

Este problema pode tornar-se maior em redes que utilizem roteadores para propagar requisições ARP pela rede, pois com isso cada usuário da rede estaria recebendo estas requisições ARP.

WinNT/IIS-4.0 com "URL Redirection" ainda vulneráveis

Sistemas IIS 4.0 que utilizam redirecionamento de URL estão vulneráveis ao CodeRed, mesmo que a correção tenha sido instalada. A solução para este tipo de sistemas é a remoção de todos os redirecionamentos de URL que estão no servidor Web. Para maiores informações acesse o endereço abaixo:

http://archives.neohapsis.com/archives/incidents/2001-08/0218.html

A empresa SharedKnowledge está disponibilizando gratuitamente uma ferramenta que permite listar todos os redirecionamentos de URL em um servicor IIS: o Check Redirect.

http://www.sharedknowledge.net/codered/checkredirect.bat

Esta ferramenta necessita do interpretador Perl instalado para ser executada.

Ferramentas de remoção do CodRed II

A recomendação do CAIS nos casos de contaminação é a realização de uma nova instalação do sistema operacional e a aplicação de todas as correções associadas ao sistema, tais como Servicepacks e Hotfixes, pois devido a presença do backdoor não será possivel determinar o que um atacante pode (ou não) ter realizado no sistema.

No entanto, existem algumas ferramentas que eventualmente permitem que seja removido o worm e estão disponíveis nos seguintes links:

Microsoft
http://www.microsoft.com/technet/itsolutions/security/tools/redfix.asp

Command Central
http://www.centralcommand.com/aug7.html

Sophos
http://www.sophos.com/support/disinfection/codered.html

Privacy Software Corporation
http://www.comodo.com/boclean/boclean.html

Maiores informações sobre o worm Code Red podem ser encontradas nos seguintes alertas do CAIS:

Nova ameaça do Worm RED CODE
http://www.rnp.br/cais/alertas/2001/cais-ALR-29072001.html

Worm "Red Code" – Update
http://www.rnp.br/cais/alertas/2001/cais-ALR-25072001.html

Worm "Red Code"
http://www.rnp.br/cais/alertas/2001/cais-ALR-19072001.html

Vulnerabilidade no serviço de indexação do IIS
http://www.rnp.br/cais/alertas/2001/CA200113.html



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303