---

Ny aggressiv variant af Codered i omløb

Denne nye variant kan karakteriseres, som en høj risiko trussel for de
administratorer som endnu ikke har opdateret deres IIS. Den nye variant er
dels på grund af den ondsindede kode og dels på grund af ormens tekniske
evne i stand til at sprede sig hurtigt og effektivt. Koden er, i modsætning
til Codered, totalt immun i forhold til sprogversioner af Windows 2000.

IIS.Coderedv3.worm er en variant af Codered og udnytter det samme ISAPI
Indexing Service buffer overflow i en komponent (Idq.dll) under Microsoft
Internet Information Server 4.0 og 5.0 som forgængeren. Sårbarheden
tillader, at ormen automatisk inficerer et sårbart system og samtidig
placerer en bagdør på serveren således at en hacker efterfølgende kan
overtage kontrollen med den kompromitterede IIS server. I modsætning til den
oprindelig variant, som indledte et Denial of service angreb mod en IP
adresse som tilhørte det hvide hus, tillader denne nye variant at en hacker
efterfølgende kan overtage styring ved hjælp af den installerede bagdør.

Ormen kan KUN inficere Windows 2000 servere, som kører en IIS der ikke er
opdateret mod .IDA-sårbarheden. På grund af et programmeringsstunt, hvor
ormen overskriver EIP med en jmp der kun er gyldig under Windows 2000, er
Windows NT altså ikke modtagelige overfor angreb. Præcist denne sårbarhed
blev udnyttet af den oprindelige Codered orm. Et patch/opdatering er blevet
frigivet af Microsoft og kan hentes på følgende adresse:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.

Når en webserver kompromitteres af IIS.coderedv3.worm vil ormen først kalde
en rutine som finder adressen af kernel32.dll i proces området af IIS server
service. Dernæst finder den adressen på GetProcAddress for herigennem at få
adgang til følgende API adresser:

LoadLibraryA
CreateThread
...
...
GetSystemTime

Rutinen kalder WS2_32.DLL således, at den kan kalde andre funktioner
herunder socket og closesocket. I USER32.DLL henter den ExitWindowsEx, som
ormen bruger til at genstarte serveren således, at bagdøren aktiveres.
Umiddelbart forinden har hovedprogrammet undersøgt hvilken sprogversion af
windows der er installeret på serveren. Ormen installerer automatisk 300
vilkårlige threads som anvendes af det kompromitterede system til at søge
efter andre sårbare servere. Hvis IIS.Coderedv3.worm finder at en server,
som kører med kinesisk sprogversion vil den forøge dette antal til 600. Til
sammenligning oprettede de tidligere udgaver af Codered blot 100 threads.
Det gør denne nye orm langt mere aggresiv og forklarer den stigningen i
probes fra "Codered".

Ormen kopier cmd.exe fra Windows systemmappen ned i følgende mapper:
c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\progra~1\common~1\system\MSADC\root.exe

Disse mapper er "default execution-enabled" og gør det muligt for en hacker,
at overtage systemet ved at kalde scripts/root.exe via en simpel HTTP GET
request.
Ormen dropper samtidig en read-only fil (explorer.exe) til roden af drevet
hvor IIS er installeret f.eks.:
C:\EXPLORER.EXE eller D:\EXPLORER.EXE (dette for at sikre at koden bliver
kørt ved genstart af systemet). På den måde kan ormen kalde ExitWindowsEx og
automatisk lukke serveren. Ved genstart af systemet vil ormen blive
aktiveret i systemet. Det kan kun lade sig gøre fordi ormen har lavet en
ændring i registreringsdatabasen under winlogon, hvor den har deaktiveret
SFC (system file checker):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable=0xFFFFFF9D
Det betyder, at systemet ikke undersøger om filen explorer.exe er den
gyldige system fil. I modsætning til IIS.Codered.worm, som ikke droppede
eller lavede ændringer på serveren vil et opdateret antivirus program være i
stand til at finde ormekoden på et kompromitteret system.
Ormen sover i 24 timer inden den begynder at søge efter andre systemer som
kan inficeres.
IIS.Coderedv3.worm kan oprettes i NIDS (Network Intrusion Detection
systemet) ved at oprette følgende mønster):

/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXX%u9090%u6858%ucbd3
%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00
c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0

Snort kan sættes op med følgende rule:
alert tcp any any -> any 80 (msg: "CodeRedII probe"; flags: A+;
content: "|46309a02 0000e80a 00000043 6f646552 65644949 008b1c24
ff55d866 0bc00f95|"; depth:624;)

Bemærk, at den nye variant anvender X i stedet for N i dens overflow af
Idq.dll. Den efterfølgende maskinkode, er også personlig for den nye Codered
variant.
Yderligere oplysninger om omfang af Codered3 kan findes her:
http://www.securityfocus.com/data/staff/crii-attempts.pdf

Venligst
Peter Kruse

---

Peter Kruse <Peter.kruse@it.dk> wrote:
> Ny aggressiv variant af Codered i omløb
[..]

Jeg ser virkelig ingen grund til at fortsaette diskussionen omkring Code
Red. En patch blev sendt ud af Microsoft adskellige uger foer nogen gad at
skrive en orm der brugte fejlen. De mennesker som ikke har patched deres
maskiner nu har vaeret i omkreds om jorden siden midten af juni, og det
aendrer sig nok ikke ved at du oversaetter materiale fundet securityfocus
og/eller eEye til Dansk.

Kan vi stoppe nu?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Mon, 6 Aug 2001 09:15:02 +0200, a@area51.dk (Alex Holst) wrote:


>Kan vi stoppe nu?

Lad dog være med at læse det, hvis du ikke er interesseret, eller ved
det hele. Det er da mere relevant end mange af dine korte
'Statements'.
MVH. Kim S. Poulsen (OZ4ZP)

---

Kim S. Poulsen <kimsp@post4.tele.dk> wrote:
> On Mon, 6 Aug 2001 09:15:02 +0200, a@area51.dk (Alex Holst) wrote:
>>Kan vi stoppe nu?
>
> Lad dog være med at læse det, hvis du ikke er interesseret, eller ved det
> hele. Det er da mere relevant end mange af dine korte 'Statements'.

Evnen til at fatte sig i korthed er guld vaerd i nogle situationer. Typisk
er der ikke information nok i en Usenet artikel til at skrive ret meget uden
at man skal til at gaette sig til forskellige ting.

Min pointe var, at Code Red diskussionen koerer i ring og hver eneste gang
er der misforstaaelser som folk tager med ud i verdenen. Det er ikke vejen
frem.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Mon, 6 Aug 2001 10:12:04 +0200, a@area51.dk (Alex Holst) wrote:

>Min pointe var, at Code Red diskussionen koerer i ring og hver eneste gang
>er der misforstaaelser som folk tager med ud i verdenen. Det er ikke vejen
>frem.
Point taken.
MVH. Kim S. Poulsen (OZ4ZP)

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9msgvm.4em.a@C-Tower.Area51.DK...
> Peter Kruse <Peter.kruse@it.dk> wrote:
> > Ny aggressiv variant af Codered i omløb
> [..]
>
> Jeg ser virkelig ingen grund til at fortsaette diskussionen omkring Code
> Red. En patch blev sendt ud af Microsoft adskellige uger foer nogen gad at
> skrive en orm der brugte fejlen. De mennesker som ikke har patched deres
> maskiner nu har vaeret i omkreds om jorden siden midten af juni, og det
> aendrer sig nok ikke ved at du oversaetter materiale fundet securityfocus
> og/eller eEye til Dansk.
>
> Kan vi stoppe nu?

Bevares! Jeg syntes nu ikke, at jeg blot oversætter noget fra securityfocus
eller Eeye eller SANS eller ... Jeg sad selv og kiggede lidt på koden og
syntes at diskussionen, som jo har kørt en rum tid, måske havde gavn af lidt
data. Basalt set giver jeg dig egentlig ret! Fejlen burde være blivet
rettet nu. Men det kunne være, at nogen som ikke ved så meget som dig havde
gavn af at læse lidt om CoderedV3 på dansk. Desuden er der uheldigvis stadig
mange (også herhjemme) som er "gået/eller har været i omkreds om jorden"

Venligst
Peter Kruse

---

Peter Kruse <Peter.kruse@it.dk> wrote:

> Bevares! Jeg syntes nu ikke, at jeg blot oversætter noget fra securityfocus
> eller Eeye eller SANS eller ... Jeg sad selv og kiggede lidt på koden og
> syntes at diskussionen, som jo har kørt en rum tid, måske havde gavn af lidt
> data. Basalt set giver jeg dig egentlig ret! Fejlen burde være blivet
> rettet nu. Men det kunne være, at nogen som ikke ved så meget som dig havde
> gavn af at læse lidt om CoderedV3 på dansk. Desuden er der uheldigvis stadig
> mange (også herhjemme) som er "gået/eller har været i omkreds om jorden"

Hvorfor kommer den først nu, var det ikke allerede i weekenden du havde
udtalt dig til diverse formiddagsaviser?

Jeg er enig med Alex.

--
Allan Joergensen (AJ1382-RIPE) - [DW] on the Undernet
Homepage: <URL:http://www.nowhere.dk/>
NT scales to quad Xeons? Linux scales to S/390. Benchmark that, soft ones.
I know karate (and seven other Japanese words).

---

"Allan Joergensen" <dw@nowhere.dk> wrote in message
news:slrn9mtuke.js9.dw@dustpuppy.nowhere.dk...
> Hvorfor kommer den først nu, var det ikke allerede i weekenden du havde
> udtalt dig til diverse formiddagsaviser?

Hej Allan,


Joh, det skal nok passe, men på grund af debatten i dette forum valgte jeg
at poste analysen, da den kunne kaste lys på nogle af de spørgsmål som
rejste sig. .
Jeg er ikke enig med Alex i at denne posting var forkert eller malplaceret,
men enig så langt, at alle system/web admins for længst burde have opdateret
deres IIS

Venligst
Peter Kruse

---

Alex Holst skrev

> Jeg ser virkelig ingen grund til at fortsaette diskussionen omkring Code
> Red. En patch blev sendt ud af Microsoft adskellige uger foer nogen gad at
> skrive en orm der brugte fejlen. De mennesker som ikke har patched deres
> maskiner nu har vaeret i omkreds om jorden siden midten af juni [...]

Ja, i princippet burde det være pærenemt at stoppe den orm. Alligevel kan
man konstatere, at der jvf. dit udsagn stadig må være en forfærdelig
trængsel i rummet omkring jorden. Til eksempel var et (her unavngivent)
stort og kendt IT-firma uden *intranet* i går pga. Code Red. Go figure.

/Filip