Безопасность IIS



ПРОБЛЕМА. Исследование: новый анализ червя Code Red II


Данное исследование проведено компанией CNET New.com (© 2001). В июле 2001 г. червь под названием Code Red атаковал и заразил тысячи серверов Windows 2000. Несколькими неделями спустя, в августе 2001 г., мутировавшая форма червя под названием Code Red II использовала тот же механизм, что и Code Red, для заражения уязвимых серверов IIS, на которых не была устранена прямая опасность переполнения буфера в idq.dll, или не были удалены отображения сценариев ISS ISAPI.

Совет. О том, как устранить уязвимое место, связанное с возможностью переполнения буфера, вы узнаете в лекции 3.

За исключением механизма переполнения буфера для выполнения кода червя на уязвимом сервере IIS червь Code Red II коренным образом отличался от исходных вариантов червя Code Red CRv1 и CRv2.

Червь Code Red II имел несколько опасных особенностей. Самой серьезной из них являлось то, что червь создавал "черный ход" посредством размещения "троянского коня" в файле CMD.EXE на зараженном сервере, что делало систему абсолютно открытой для любого хакера.

Червь копировал файл %windir%\CMD.EXE в следующие места:

  • c:\inetpub\scripts\root.exe;
  • c:\progra~1\common~1\system\MSADC\root.exe;
  • d:\inetpub\scripts\root.exe;
  • d:\progra~1\common~1\system\MSADC\root.exe.

"Черный ход" позволял хакеру выполнять любые команды на взломанном сервере.

Кроме того, червь размещал на системе-жертве второго "троянского коня", являвшегося модифицированной версией файла explorer.exe (Диспетчер рабочего стола), который давал удаленному хакеру беспрепятственный доступ к корневым каталогам C: и D: после следующего входа пользователя в систему (если в системе не было устранено уязвимое место "Relative Shell Path"); это стало возможным благодаря способу, которым Windows по умолчанию осуществляет поиск исполняемых файлов.

Совет. В лекции 3 будет рассказываться о том, как устранить уязвимое место "Relative Shell Path", связанное с относительным путем оболочки.

По прошествии времени распространения инфекции система принудительно перезагружалась.


Содержание  Назад  Вперед