Articulo de referencia

Código Rojo (gusano informático)

Code Red fue un gusano informático detectado en Internet el 15 de julio de 2001. Atacó a ordenadores que ejecutaban el servidor web IIS de Microsoft . Fue el primer ataque a gra...

Code Red fue un gusano informático detectado en Internet el 15 de julio de 2001. Atacó a ordenadores que ejecutaban el servidor web IIS de Microsoft . Fue el primer ataque a gran escala y de amenazas mixtas que logró afectar con éxito a redes empresariales. [ 1 ]

El gusano Code Red fue descubierto e investigado por primera vez por Marc Maiffret y Ryan Permeh, empleados de eEye Digital Security, cuando explotó una vulnerabilidad descubierta por Riley Hassell. Lo llamaron "Code Red" porque estaban bebiendo Mountain Dew Code Red en el momento del descubrimiento. [ 2 ]

Aunque el gusano se había liberado el 13 de julio, el mayor grupo de ordenadores infectados se observó el 19 de julio de 2001. Ese día, el número de hosts infectados alcanzó los 359.000. [ 3 ]

El gusano se propagó por todo el mundo, llegando a ser particularmente frecuente en América del Norte, Europa y Asia (incluyendo China e India). [ 4 ]

Concepto

Vulnerabilidad explotada

El gusano mostró una vulnerabilidad en el software distribuido con IIS, descrita en el Boletín de seguridad de Microsoft MS01-033 (CVE-2001-0500), [ 5 ] para el cual se había publicado un parche un mes antes.

El gusano se propagó utilizando una vulnerabilidad común conocida como desbordamiento de búfer . Para ello, utilizaba una larga cadena de la letra 'N' repetida para desbordar un búfer, lo que le permitía ejecutar código arbitrario e infectar la máquina. Kenneth D. Eichman fue el primero en descubrir cómo bloquearlo y fue invitado a la Casa Blanca por su descubrimiento. [ 6 ]

Carga útil del gusano

La carga útil del gusano incluía:

  • Desfigurar el sitio web afectado para que muestre:
¡HOLA! ¡Bienvenido a http://www.worm.com ! ¡Hackeado por chinos!
  • Otras actividades basadas en el día del mes: [ 7 ]
    • Días 1-19: Intentando propagarse buscando más servidores IIS en Internet.
    • Días 20-27: Lanzamiento de ataques de denegación de servicio contra varias direcciones IP fijas . La dirección IP del servidor web de la Casa Blanca estaba entre ellas. [ 3 ]
    • Días 28 hasta fin de mes: Duerme, sin ataques activos.

Al escanear en busca de máquinas vulnerables, el gusano no comprobaba si el servidor que se ejecutaba en una máquina remota tenía una versión vulnerable de IIS, ni siquiera si estaba ejecutando IIS. Los registros de acceso de Apache de ese momento frecuentemente contenían entradas como estas:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

La carga útil del gusano es la cadena que sigue a la última 'N'. Debido a un desbordamiento de búfer, un host vulnerable interpretó esta cadena como instrucciones informáticas, propagando así el gusano.

Gusanos similares

El 4 de agosto de 2001 apareció Code Red II . Si bien utilizaba el mismo vector de inyección, su carga útil era completamente diferente . Seleccionaba objetivos de forma pseudoaleatoria en la misma subred o en subredes distintas a las de las máquinas infectadas, según una distribución de probabilidad fija, priorizando con mayor frecuencia los objetivos de su propia subred. Además, utilizaba el patrón de repetición de caracteres 'X' en lugar de caracteres 'N' para provocar el desbordamiento del búfer.

eEye creía que el gusano se originó en Makati , Filipinas, el mismo origen que el gusano VBS/Loveletter (también conocido como "ILOVEYOU").

Véase también

Referencias

  1. Trend Micro. "Prevención y gestión empresarial de ataques de amenazas mixtas" (PDF) .
  2. ANÁLISIS: Gusano .ida "Code Red" (copia archivada del 22 de julio de 2011) , aviso de la EUAA, eEye Digital Security, 17 de julio de 2001
  3. 1 2 Moore, David; Shannon, Colleen (c. 2001). "La propagación del gusano Code-Red (CRv2)" . Análisis de CAIDA . Recuperado el 3 de octubre de 2006 .
  4. "Descubrimientos – Vídeo – La propagación del gusano Código Rojo" . Fundación Nacional de Ciencias .
  5. MS01-033 "Boletín de seguridad de Microsoft MS01-033: Un búfer sin verificar en la extensión ISAPI del servidor de índices podría permitir la vulneración del servidor web" , Microsoft Corporation, 18 de junio de 2001
  6. Lemos, Rob. "Un gusano virulento pone en duda nuestra capacidad para proteger la red" . Tracking Code Red . Noticias de CNET. Archivado del original el 17 de junio de 2011. Consultado el 14 de marzo de 2011 .
  7. "Aviso CERT CA-2001-19: Gusano 'Code Red' explota desbordamiento de búfer en la DLL del servicio de indexación de IIS" . CERT/CC . 17 de julio de 2001. Consultado el 29 de junio de 2010 .