RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS-ALR-19072001

Worm "Red Code"

[CAIS, 19.07.2001, revisão 01]


Resumo

Nas últimas 72 horas, scans generalizados têm sido lançados sobre redes no mundo todo. Em muitos casos, estes scans têm culminado em desfigurações de páginas web. O responsável: O Worm Red Code.

Este documento visa alertar administradores e usuários do backbone RNP, bem como a toda comunidade Internet/BR sobre esse novo Worm, assim como métodos para identificação e proteção contra o mesmo.

Motivação

De ontem para hoje, têm sido reportados ao CAIS diversos scans sofridos por redes ligadas ao backbone da RNP, todos eles na porta 80/http, provocando uma sensível degradação no sistema e nas redes respectivas. O que a princípio poderia apenas ser caracterizado como um Distributed-Denial-of-Service (DDoS) era, na verdade, um novo Worm se alastrando pela Internet.

Há quem diga inclusive que este Worm estaria progamado para realizar um "flood" contra a Casa Branca, sede do governo Americano.

[fonte: http://news.cnet.com/2100-1001-270263.html]

Sistemas afetados

Sistemas Win NT 4.0 e Win 2000, rodando IIS 4.0 ou 5.0.

Detalhes

Como funciona o Worm "Red Code"?

1. Em busca de servidores IIS passíveis de exploração, as máquinas vítimas têm a sua porta 80(http), testada pelo Worm.

2. Obtendo sucesso na busca, o host atacante tenta explorar uma nova vulnerabilidade no IIS, recentemente divulgada pela Microsoft (Microsoft Security Bulletin MS01-033).

3. Obtendo sucesso na exploração, o Worm se instala e é executado.

4. Se for encontrado o arquivo C:notworm no sistema, o Worm cesa a sua execução. Caso contrário, ele inicia uma série de scans na porta 80/http em outros sistemas, que eventualmente tambem se tornarão potenciais vítimas.

5. Se a linguagem default do sistema for inglês, o Worm, além de disparar o scan massivo, altera o conteúdo das páginas web do servidor para:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!.

Impacto

Servidores web explorados com sucesso, tem sua página web alterada. Além de sofrer degradação do sistema, devido à atividade de "scanning".

Sistemas não explorados com sucesso, mas que sofreram scans de máquinas infectadas pelo Worm, terminam sendo vítimas (eles e as redes que os abrigam) de um massivo ataque Denial-of-Service.

Assim também, código malicioso pode ser executado.

Detectando a presença do Worm

O Worm Red Code pode ser identificado:

. Se os arquivos de log do servidor IIS registraram algo do tipo:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6
858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u909
0%u9090%u8190%u00c3%u0003%u8b00%u531 b%u53ff%
u0078 %u0000%u00=a


. O indício mais óbvio e o mais indesejável, se sua página web aparece com a seguinte mensagem:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

Se é percebida uma degradação no sistema. Ela pode ser por conta de inúmeros scans lancados pelo Worm, já instalado.

Ações Recomendadas

1. Preventivas

a) TODAS as máquinas com versões vulneráveis do IIS devem ter seu sistema imediatamente atualizado, para tal basta aplicar a correção disponibilizada pela Microsoft em:

http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx

Se isto não for possível, elas deverão ser retiradas da rede. O Worm continuará a se propagar enquanto existirem máquinas vulneráveis.

b) Regras do Snort

Quem utiliza o Snort como ferramenta IDS poderá utilizar as seguintes regras para identificar pacotes do worm: (retirado de www.snort.org)

alert tcp any any < any 80 (msg: "CodeRed Defacement"; flags: A+;
content: "|FF8B8D64 FEFFFF0F BE1185D2 7402EBD3|"; depth:64;)
alert tcp any any < any 80 (msg: "CodeRed IDA Overflow"; dsize: 239;
flags: A+; content:"|2F646566 61756C74 2E696461 3F4E4E4E|";)

2. Corretivas

Caso seja verificada a presença do Worm, a recomendação do CAIS é taxativa: a reinstalação completa do sistema, aplicando todos os patches e configurando o sistema com segurança.

Diante de qualquer atividade suspeita, contate seu grupo de segurança. Em particular, redes conectadas ao backbone da RNP que sejam vítimas do Worm podem contatar o CAIS através do endereço .

Informações adicionais

Segue uma relação de alertas relacionados com o Worm Red Code.

http://www.cert.org/advisories/CA-2001-19.html

http://www.eeye.com/html/Research/Advisories/AL20010717.html

http://isc.sans.org/diary.html

O CAIS esta' a disposicao para maiores esclarecimentos.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303