Это отдельная вредоносная компьютерная программа

История первой серьезной атаки на корпоративную IT-инфраструктуру

Bu sahifa navigatsiya:

• Принципы работы Code Red

История первой серьезной атаки на корпоративную IT-инфраструктуру. Начало этой истории было относительно удачным: распространение интернет-червя Code Red, атакующего системы на базе Windows с установленным веб-сервером Microsoft IIS (Internet Information Services for Windows Server), удалось выявить в самом начале эпидемии. Первооткрывателями стали специалисты компании eEye Security: на момент обнаружения (13 июля 2001 года) они как раз занимались разработкой системы по поиску уязвимостей в Microsoft IIS. Их тестовый сервер неожиданно перестал отвечать на запросы. Вслед за этим последовала бессонная ночь, которую исследователи провели, изучая логи системы в поисках следов заражения. Зловред назвали по первому попавшемуся на глаза предмету: это была газировка Mountain Dew Code Red. Однако относительно раннее обнаружение не особо помогло остановить эпидемию. Зловред использовал уже зараженные системы для дальнейших атак, и буквально за считанные дни распространился по всему миру. Позднее организация Centre for Applied Internet Data Analysis показала статистику за 19 июля, которая хорошо демонстрирует скорость распространения Code Red. Всего, по разным данным, было атаковано более 300 тысяч серверов. Распространение червя Code Red на 19 июля 2001 года. Принципы работы Code Red Интернет-червь использовал тривиальнейшую уязвимость в одном из модулей веб-сервера, а точнее, расширении для индексации данных. В библиотеке idq.dll была обнаружена ошибка переполнения буфера. Уязвимость получила идентификатор MS01-33. По современным меркам это простейшая ошибка, которую можно проэксплуатировать, отправив на сервер чрезмерно длинный запрос такого вида: GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 Первый член семейства этого сетевого червя, известный как «Bady» (он же «Code Red»), по данным ZDNet , уже заразил почти 12 000 серверов по всему миру, а также организовал масштабные DDoS-атаки на Белый дом. Вашингтон, округ Колумбия ( http://www.whitehouse.gov), нарушая нормальную работу сайтов. «Bady» заражает только те компьютеры, которые работают под управлением Windows 2000 (без установленных пакетов обновлений) и Microsoft Internet Information Server (IIS) с включенной службой индексирования. Именно потому, что это программное обеспечение широко используется на коммерческих серверах Web, FTP и электронной почты, червь получил широкое распространение. Масштабы эпидемии могли быть гораздо более серьезными и разрушительными, если бы она заразила другие версии Windows, такие как Windows NT и XP; однако создатель червя специально нацелил своего "паразита" на Windows 2000. Чтобы проникнуть на удаленные компьютеры, Bady использует обнаруженную в июне этого года брешь в системе безопасности IIS, которая позволяет злоумышленнику запускать произвольный код без ведома пользователя. Это достигается тем, что Bady отправляет специальный запрос на случайно выбранный сервер для запуска самого червя на указанном компьютере. Червь, в свою очередь, пытается проникнуть на другие серверы. Сотни активных процессов червя, одновременно находящихся в памяти компьютера, мешают работе сервера. 18 июня этого года Microsoft выпустилапластырьОднако, устраняя это нарушение, большинство пользователей компьютеров до сих пор проигнорировали предупреждение и еще не установили необходимое программное обеспечение. «Bady еще раз доказывает необходимость своевременной установки обновлений программного обеспечения. В настоящее время это одна из важнейших мер безопасности как для индивидуальных домашних пользователей, так и для корпоративных пользователей», — прокомментировал Денис Зенкин, руководитель отдела корпоративных коммуникаций «Лаборатории Касперского». «Нынешний червь ясно демонстрирует, что хакеру требуется всего несколько дней, чтобы запустить вредоносный код, используя брешь в системе безопасности». Наиболее важной особенностью Bady является то, что он не использует никаких файлов. «Этот червь абсолютно уникален: он находится либо в системной памяти зараженного компьютера, либо в пакете TCP/IP, передаваемом на удаленный компьютер», — пояснил Евгений Касперский. Руководитель отдела антивирусных исследований «Лаборатории Касперского». «Такой «бесфайловый» червь представляет серьезную угрозу для защиты серверов, поскольку требует установки специального антивирусного модуля для современных межсетевых экранов». Помимо глушения работы зараженного компьютера, у Bady есть и другие побочные эффекты. Во-первых, червь перехватывает запросы пользователей на просмотр содержимого зараженных веб-сайтов и заменяет исходные страницы следующим сообщением: Так выглядел веб-сайт на зараженном Code Red веб-сервере. Показав фальшивую, взломанную страницу веб-сайта в течение 10 часов, червь автоматически возвращает все в норму, чтобы пользователь мог просматривать только оригинальное содержимое сайта. Важно отметить, что это происходит только на сайтах, где по умолчанию установлена ​​кодовая страница «Английский (США)». Во-вторых, с 20 по 28 число каждого месяца червь совершает DDoS-атаку на сайт Белого дома США ( www.whitehouse.gov) .). Для этого червь при запуске копируется на все зараженные компьютеры, отправляя многочисленные запросы на подключение к этому веб-сайту. Огромное количество запросов приводит к перегрузке веб-сайта и отказу от других запросов на обслуживание. Для нейтрализации и защиты от проникновения червя Bady «Лаборатория Касперского» рекомендует пользователям как можно скорее установить патч, предотвращающий эту брешь в системе безопасности IIS.  Download 131.39 Kb. Do'stlaringiz bilan baham: