.
XyberSec

XyberSec • Join Our Growing Community Of Kerala Hackers

കോഡ് റെഡ് വേമുകള്‍ Code Red Worms

 2001 ജൂണ്‍ പതിനെട്ടാം തീയതി eeye എന്ന വെബ് സൈറ്റ് മൈക്രൊസോഫ്റ്റ് ഐ ഐ എസ് സെര്‍വറിലെ ദൌര്‍ബല്യങ്ങള്‍ വെളിപ്പെടുത്തുന്ന ഒരു ലേഖനം അവരുടെ സൈറ്റില്‍ പ്രസിദ്ധീകരിക്കുകയുണ്ടായി. ISAPI (Internet Server Application Program Interface) എന്ന ബഫര്‍ ഫില്‍റ്ററിംഗ് സംവിധാനത്തിലെ ഗുരുതരമായ സുരക്ഷാ പാളിച്ചകളെപറ്റിയുള്ളവാ‍യിരുന്നു ഇവ. ഇതു വഴി സിസ്റ്റത്തിനെ റിമോട്ടായി ആക്രമിക്കുവാന്‍ സാധിക്കും എന്നുള്ളതായിരുന്നു ഈ അര്‍ട്ടിക്കിളിലുണ്ടായിരുന്നത്.

ജൂലൈ 13, രണ്ടായിരത്തി ഒന്നിനാണ് കോഡ് റെഡ് വേമുകള്‍ ആദ്യമായി ഇന്റര്‍നെറ്റില്‍ പ്രത്യക്ഷപ്പെടുന്നത്. മണിക്കുറുകള്‍ കൊണ്ടു ഇവ ഇന്റര്‍നെറ്റിലെ മൈക്രോസോഫ്റ്റ് ഐ ഐ എസ് സെര്‍‌വറുകള്‍ ഉപയോഗിക്കുന്ന വെബ് സെര്‍വറുകളെ വിനാശകരമായ രീതിയില്‍ ബാധിച്ചു. സിസ്റ്റം ക്ലോക്കിലെ ഡേറ്റ് ഒന്നാം തീയതിക്കും പത്തൊമ്പതാം തീയതിക്കും ഇടയിലുള്ളവയാണെങ്കില്‍ ഇവ റാന്‍ഡം ആയി വെബ്സെര്‍വറുകളിലെ ഐ പി റേഞ്ചിലെ അഡ്രസുകള്‍ തനിയെ ജെനറേട് ചെയ്തു അവയുപയോഗിച്ചു മറ്റു വെബ് സെര്‍വറുകളെ ആക്രമിക്കുകയുമായിരുന്നു ചെയ്തത്. (ഇരുപതാം തീയതി ആക്രമണം അവസാനിക്കുന്ന രീതിയിലായിരുന്നു ഈ വേം പ്രോഗ്രാം ചെയ്തിരുന്നതു). ഇവയില്‍ നിന്നും വീണ്ടും ഐപി അഡ്രസുകളെ ലിസ്റ്റ് ചെയ്യുകയും പിന്നീട് അവയുപയോഗിച്ച് കൂടുതല്‍ വെബ് സെര്‍വറുകളെ അധീനതയില്‍ ആക്കുകയും ചെയ്തു. രണ്ടാമത്തെ കോഡ് റെഡ് വേമിന്റെ വകഭേദത്തെ അപേക്ഷിച്ചു ആദ്യത്തെ കോഡ് റെഡ് വേം വളരെകുറഞ്ഞ ഉപദ്രവമായിരുന്നു വെബ്സെര്‍വറുകള്‍ക്കു ഉണ്ടാക്കിയതു്. ഇവ വെബ് സെര്‍വറുകളെ റീബൂട്ട് ചെയ്യുകമാത്രമാണുണ്ടായതു്. എന്നാല്‍ റീബൂട്ട് ചെയ്യപ്പെട്ടതിനു ശേഷവും അവ കോഡ് റെഡ് വേമിനാല്‍ (CRv1) തുടരെ തുടരെ ഇന്‍ഫെക്റ്റ് ചെയ്യപ്പെടുകയുണ്ടായി. വളരെ ഉയര്‍ന്ന തലത്തിലുള്ള അപകടമായിരുന്നു കോഡ് റെഡ് വേമിന്റേതു്.

കോഡ് റെഡ് വേമുകള്‍ ആക്രമിച്ച വെബ്‌ സെര്‍വറുകള്‍ കാണിക്കുന്ന     ഡീഫെയിസ് പേജ്

ഏകദേശംപന്ത്രണ്ടായിരത്തോളം വെബ് സെര്‍വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ ( CRv1) ആക്രമണത്തിനിരയായതു്. GET എന്ന കമാന്റുപയോഗിച്ചു വെബ് സര്‍വറുകളുമായി ഒരു കണക്ഷന്‍ സ്ഥാപിക്കുകയും പിന്നീട് അവയെ ബഫര്‍ ഓവര്‍ഫ്ലോ എന്നറിയപ്പെടുന്ന ആക്രമണം വഴി അധീനതയിലാക്കുകയുമാണ് കോഡ് റെഡ് വേം ചെയ്തതു്. സിസ്റ്റം മെമ്മറിയില്‍ ഇന്‍‌ഫെക്റ്റ് ചെയ്യുന്ന കോഡിംഗ് രീതിയായിരുന്നു കോഡ് റെഡ് വേമില്‍ ( CRv1) ഉപയോഗിച്ചിരുന്നതു്. അതു കൊണ്ട് തന്നെ സിസ്റ്റത്തിന്റെ ഹാര്‍ഡ് ഡിസ്കില്‍ നിന്നും ഇതിന്റെ യാതൊരു ലക്ഷണവും കണ്ടെടുക്കാന്‍ സാധിച്ചിരുന്നില്ല ഒരേ സമയം കോഡ് റെഡിന്റെ തന്നെ ഏകദേശം 100 വേമുകളുടെ പകര്‍പ്പുകള്‍ ഉപയോഗിച്ച് ആക്രമിച്ച ഇവ ആദ്യം സിസ്റ്റം ക്ലോക്കിന്റെ സമയം പിന്നാക്കം മാറ്റുകയും പിന്നീട് അതിന്റെ പ്രവര്‍ത്തനം ആരംഭിക്കുകയും ചെയ്തു. ആദ്യം അധീനതയിലാക്കിയ വെബ് സെര്‍വറുകളിലെ ഐപി അഡ്രസുകള്‍ റാന്‍‌ഡം ആയി ഉപയോഗിച്ചു പോര്‍ട്ട് നമ്പര്‍ 80 വഴി മറ്റു വെബ്സെര്‍വറുകളിലേക്കു എച്ച് റ്റി റ്റി പി ഫ്ലഡ് എന്ന ആക്രമണ രീതിയായിരുന്നു അവലംബിച്ചിരുന്നതു്. ഇംഗ്ലീഷ് ഭാഷയിലുണ്ടായിരുന്ന വെബ് സെര്‍വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ പ്രധാന ലക്ഷ്യം. തുടര്‍ന്ന് ഇവയുപയോഗിച്ച് www.whitehouse.gov എന്ന വെബ്സൈറ്റിനെ ആക്രമിക്കുകയുണ്ടായി. ഒരേ സമയം ഒരു ലക്ഷത്തോളം പാക്കറ്റുകളായിരുന്നു www.whitehouse.gov എന്ന വെബ്സൈറ്റിനു നേരെ കോഡ് റെഡ് വേം 1 പ്രയോഗിച്ചതു്. തുടര്‍ന്നു ഏകദേശം നാലര മണിക്കൂര്‍ നേരം ഈ വേം സ്ലീപ്പിംഗ് മോഡിലാകുകയും വീണ്ടും ആക്രമണം ആരംഭിക്കുകയും ചെയ്തു. നൂറോളം വേമുകള്‍ ഓരോ തവണയും മുകളില്‍ പറഞ്ഞ പാക്കറ്റുകള്‍ ഒരു സിസ്റ്റത്തില്‍ നിന്നു മാത്രം പ്രയോഗിച്ച് അതിനെ റിബൂട്ട് ചെയ്യുകയും തുടര്‍ന്നു www.whitehouse.gov നിന്നുള്ള സര്‍വീസ് തടഞ്ഞു. കൂടാതെ ഈ വെബ്സൈറ്റ് ഡീഫെയിസ് ചെയ്യപ്പെടുകയും ചെയ്തു.

കോഡ് റെഡ് വേമിന്‍റെ സോര്‍സ് കോഡ് ലഭിക്കാന്‍ ഈ വെബ്സൈറ്റ് സന്ദര്‍ശിക്കുകhttp://indianrenegade.blogspot.in/2007/02/code-red-worm-source-code.html

Enjoying these posts? Subscribe for more
Subscribe now

Subscribe to be notified of new content and support XyberSec! You'll be a part of the community helping keep this site independent and ad-free.

You've successfully subscribed to XyberSec
Great! Next, complete checkout for full access to XyberSec
Welcome back! You've successfully signed in
Success! Your account is fully activated, you now have access to all content.