കോഡ് റെഡ് വേമുകള് Code Red Worms
2001 ജൂണ് പതിനെട്ടാം തീയതി eeye എന്ന വെബ് സൈറ്റ് മൈക്രൊസോഫ്റ്റ് ഐ ഐ എസ് സെര്വറിലെ ദൌര്ബല്യങ്ങള് വെളിപ്പെടുത്തുന്ന ഒരു ലേഖനം അവരുടെ സൈറ്റില് പ്രസിദ്ധീകരിക്കുകയുണ്ടായി. ISAPI (Internet Server Application Program Interface) എന്ന ബഫര് ഫില്റ്ററിംഗ് സംവിധാനത്തിലെ ഗുരുതരമായ സുരക്ഷാ പാളിച്ചകളെപറ്റിയുള്ളവായിരുന്നു ഇവ. ഇതു വഴി സിസ്റ്റത്തിനെ റിമോട്ടായി ആക്രമിക്കുവാന് സാധിക്കും എന്നുള്ളതായിരുന്നു ഈ അര്ട്ടിക്കിളിലുണ്ടായിരുന്നത്.
ജൂലൈ 13, രണ്ടായിരത്തി ഒന്നിനാണ് കോഡ് റെഡ് വേമുകള് ആദ്യമായി ഇന്റര്നെറ്റില് പ്രത്യക്ഷപ്പെടുന്നത്. മണിക്കുറുകള് കൊണ്ടു ഇവ ഇന്റര്നെറ്റിലെ മൈക്രോസോഫ്റ്റ് ഐ ഐ എസ് സെര്വറുകള് ഉപയോഗിക്കുന്ന വെബ് സെര്വറുകളെ വിനാശകരമായ രീതിയില് ബാധിച്ചു. സിസ്റ്റം ക്ലോക്കിലെ ഡേറ്റ് ഒന്നാം തീയതിക്കും പത്തൊമ്പതാം തീയതിക്കും ഇടയിലുള്ളവയാണെങ്കില് ഇവ റാന്ഡം ആയി വെബ്സെര്വറുകളിലെ ഐ പി റേഞ്ചിലെ അഡ്രസുകള് തനിയെ ജെനറേട് ചെയ്തു അവയുപയോഗിച്ചു മറ്റു വെബ് സെര്വറുകളെ ആക്രമിക്കുകയുമായിരുന്നു ചെയ്തത്. (ഇരുപതാം തീയതി ആക്രമണം അവസാനിക്കുന്ന രീതിയിലായിരുന്നു ഈ വേം പ്രോഗ്രാം ചെയ്തിരുന്നതു). ഇവയില് നിന്നും വീണ്ടും ഐപി അഡ്രസുകളെ ലിസ്റ്റ് ചെയ്യുകയും പിന്നീട് അവയുപയോഗിച്ച് കൂടുതല് വെബ് സെര്വറുകളെ അധീനതയില് ആക്കുകയും ചെയ്തു. രണ്ടാമത്തെ കോഡ് റെഡ് വേമിന്റെ വകഭേദത്തെ അപേക്ഷിച്ചു ആദ്യത്തെ കോഡ് റെഡ് വേം വളരെകുറഞ്ഞ ഉപദ്രവമായിരുന്നു വെബ്സെര്വറുകള്ക്കു ഉണ്ടാക്കിയതു്. ഇവ വെബ് സെര്വറുകളെ റീബൂട്ട് ചെയ്യുകമാത്രമാണുണ്ടായതു്. എന്നാല് റീബൂട്ട് ചെയ്യപ്പെട്ടതിനു ശേഷവും അവ കോഡ് റെഡ് വേമിനാല് (CRv1) തുടരെ തുടരെ ഇന്ഫെക്റ്റ് ചെയ്യപ്പെടുകയുണ്ടായി. വളരെ ഉയര്ന്ന തലത്തിലുള്ള അപകടമായിരുന്നു കോഡ് റെഡ് വേമിന്റേതു്.
ഏകദേശംപന്ത്രണ്ടായിരത്തോളം വെബ് സെര്വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ ( CRv1) ആക്രമണത്തിനിരയായതു്. GET എന്ന കമാന്റുപയോഗിച്ചു വെബ് സര്വറുകളുമായി ഒരു കണക്ഷന് സ്ഥാപിക്കുകയും പിന്നീട് അവയെ ബഫര് ഓവര്ഫ്ലോ എന്നറിയപ്പെടുന്ന ആക്രമണം വഴി അധീനതയിലാക്കുകയുമാണ് കോഡ് റെഡ് വേം ചെയ്തതു്. സിസ്റ്റം മെമ്മറിയില് ഇന്ഫെക്റ്റ് ചെയ്യുന്ന കോഡിംഗ് രീതിയായിരുന്നു കോഡ് റെഡ് വേമില് ( CRv1) ഉപയോഗിച്ചിരുന്നതു്. അതു കൊണ്ട് തന്നെ സിസ്റ്റത്തിന്റെ ഹാര്ഡ് ഡിസ്കില് നിന്നും ഇതിന്റെ യാതൊരു ലക്ഷണവും കണ്ടെടുക്കാന് സാധിച്ചിരുന്നില്ല ഒരേ സമയം കോഡ് റെഡിന്റെ തന്നെ ഏകദേശം 100 വേമുകളുടെ പകര്പ്പുകള് ഉപയോഗിച്ച് ആക്രമിച്ച ഇവ ആദ്യം സിസ്റ്റം ക്ലോക്കിന്റെ സമയം പിന്നാക്കം മാറ്റുകയും പിന്നീട് അതിന്റെ പ്രവര്ത്തനം ആരംഭിക്കുകയും ചെയ്തു. ആദ്യം അധീനതയിലാക്കിയ വെബ് സെര്വറുകളിലെ ഐപി അഡ്രസുകള് റാന്ഡം ആയി ഉപയോഗിച്ചു പോര്ട്ട് നമ്പര് 80 വഴി മറ്റു വെബ്സെര്വറുകളിലേക്കു എച്ച് റ്റി റ്റി പി ഫ്ലഡ് എന്ന ആക്രമണ രീതിയായിരുന്നു അവലംബിച്ചിരുന്നതു്. ഇംഗ്ലീഷ് ഭാഷയിലുണ്ടായിരുന്ന വെബ് സെര്വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ പ്രധാന ലക്ഷ്യം. തുടര്ന്ന് ഇവയുപയോഗിച്ച് www.whitehouse.gov എന്ന വെബ്സൈറ്റിനെ ആക്രമിക്കുകയുണ്ടായി. ഒരേ സമയം ഒരു ലക്ഷത്തോളം പാക്കറ്റുകളായിരുന്നു www.whitehouse.gov എന്ന വെബ്സൈറ്റിനു നേരെ കോഡ് റെഡ് വേം 1 പ്രയോഗിച്ചതു്. തുടര്ന്നു ഏകദേശം നാലര മണിക്കൂര് നേരം ഈ വേം സ്ലീപ്പിംഗ് മോഡിലാകുകയും വീണ്ടും ആക്രമണം ആരംഭിക്കുകയും ചെയ്തു. നൂറോളം വേമുകള് ഓരോ തവണയും മുകളില് പറഞ്ഞ പാക്കറ്റുകള് ഒരു സിസ്റ്റത്തില് നിന്നു മാത്രം പ്രയോഗിച്ച് അതിനെ റിബൂട്ട് ചെയ്യുകയും തുടര്ന്നു www.whitehouse.gov നിന്നുള്ള സര്വീസ് തടഞ്ഞു. കൂടാതെ ഈ വെബ്സൈറ്റ് ഡീഫെയിസ് ചെയ്യപ്പെടുകയും ചെയ്തു.
ജൂലൈ 13, രണ്ടായിരത്തി ഒന്നിനാണ് കോഡ് റെഡ് വേമുകള് ആദ്യമായി ഇന്റര്നെറ്റില് പ്രത്യക്ഷപ്പെടുന്നത്. മണിക്കുറുകള് കൊണ്ടു ഇവ ഇന്റര്നെറ്റിലെ മൈക്രോസോഫ്റ്റ് ഐ ഐ എസ് സെര്വറുകള് ഉപയോഗിക്കുന്ന വെബ് സെര്വറുകളെ വിനാശകരമായ രീതിയില് ബാധിച്ചു. സിസ്റ്റം ക്ലോക്കിലെ ഡേറ്റ് ഒന്നാം തീയതിക്കും പത്തൊമ്പതാം തീയതിക്കും ഇടയിലുള്ളവയാണെങ്കില് ഇവ റാന്ഡം ആയി വെബ്സെര്വറുകളിലെ ഐ പി റേഞ്ചിലെ അഡ്രസുകള് തനിയെ ജെനറേട് ചെയ്തു അവയുപയോഗിച്ചു മറ്റു വെബ് സെര്വറുകളെ ആക്രമിക്കുകയുമായിരുന്നു ചെയ്തത്. (ഇരുപതാം തീയതി ആക്രമണം അവസാനിക്കുന്ന രീതിയിലായിരുന്നു ഈ വേം പ്രോഗ്രാം ചെയ്തിരുന്നതു). ഇവയില് നിന്നും വീണ്ടും ഐപി അഡ്രസുകളെ ലിസ്റ്റ് ചെയ്യുകയും പിന്നീട് അവയുപയോഗിച്ച് കൂടുതല് വെബ് സെര്വറുകളെ അധീനതയില് ആക്കുകയും ചെയ്തു. രണ്ടാമത്തെ കോഡ് റെഡ് വേമിന്റെ വകഭേദത്തെ അപേക്ഷിച്ചു ആദ്യത്തെ കോഡ് റെഡ് വേം വളരെകുറഞ്ഞ ഉപദ്രവമായിരുന്നു വെബ്സെര്വറുകള്ക്കു ഉണ്ടാക്കിയതു്. ഇവ വെബ് സെര്വറുകളെ റീബൂട്ട് ചെയ്യുകമാത്രമാണുണ്ടായതു്. എന്നാല് റീബൂട്ട് ചെയ്യപ്പെട്ടതിനു ശേഷവും അവ കോഡ് റെഡ് വേമിനാല് (CRv1) തുടരെ തുടരെ ഇന്ഫെക്റ്റ് ചെയ്യപ്പെടുകയുണ്ടായി. വളരെ ഉയര്ന്ന തലത്തിലുള്ള അപകടമായിരുന്നു കോഡ് റെഡ് വേമിന്റേതു്.
കോഡ് റെഡ് വേമുകള് ആക്രമിച്ച വെബ് സെര്വറുകള് കാണിക്കുന്ന ഡീഫെയിസ് പേജ്
ഏകദേശംപന്ത്രണ്ടായിരത്തോളം വെബ് സെര്വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ ( CRv1) ആക്രമണത്തിനിരയായതു്. GET എന്ന കമാന്റുപയോഗിച്ചു വെബ് സര്വറുകളുമായി ഒരു കണക്ഷന് സ്ഥാപിക്കുകയും പിന്നീട് അവയെ ബഫര് ഓവര്ഫ്ലോ എന്നറിയപ്പെടുന്ന ആക്രമണം വഴി അധീനതയിലാക്കുകയുമാണ് കോഡ് റെഡ് വേം ചെയ്തതു്. സിസ്റ്റം മെമ്മറിയില് ഇന്ഫെക്റ്റ് ചെയ്യുന്ന കോഡിംഗ് രീതിയായിരുന്നു കോഡ് റെഡ് വേമില് ( CRv1) ഉപയോഗിച്ചിരുന്നതു്. അതു കൊണ്ട് തന്നെ സിസ്റ്റത്തിന്റെ ഹാര്ഡ് ഡിസ്കില് നിന്നും ഇതിന്റെ യാതൊരു ലക്ഷണവും കണ്ടെടുക്കാന് സാധിച്ചിരുന്നില്ല ഒരേ സമയം കോഡ് റെഡിന്റെ തന്നെ ഏകദേശം 100 വേമുകളുടെ പകര്പ്പുകള് ഉപയോഗിച്ച് ആക്രമിച്ച ഇവ ആദ്യം സിസ്റ്റം ക്ലോക്കിന്റെ സമയം പിന്നാക്കം മാറ്റുകയും പിന്നീട് അതിന്റെ പ്രവര്ത്തനം ആരംഭിക്കുകയും ചെയ്തു. ആദ്യം അധീനതയിലാക്കിയ വെബ് സെര്വറുകളിലെ ഐപി അഡ്രസുകള് റാന്ഡം ആയി ഉപയോഗിച്ചു പോര്ട്ട് നമ്പര് 80 വഴി മറ്റു വെബ്സെര്വറുകളിലേക്കു എച്ച് റ്റി റ്റി പി ഫ്ലഡ് എന്ന ആക്രമണ രീതിയായിരുന്നു അവലംബിച്ചിരുന്നതു്. ഇംഗ്ലീഷ് ഭാഷയിലുണ്ടായിരുന്ന വെബ് സെര്വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ പ്രധാന ലക്ഷ്യം. തുടര്ന്ന് ഇവയുപയോഗിച്ച് www.whitehouse.gov എന്ന വെബ്സൈറ്റിനെ ആക്രമിക്കുകയുണ്ടായി. ഒരേ സമയം ഒരു ലക്ഷത്തോളം പാക്കറ്റുകളായിരുന്നു www.whitehouse.gov എന്ന വെബ്സൈറ്റിനു നേരെ കോഡ് റെഡ് വേം 1 പ്രയോഗിച്ചതു്. തുടര്ന്നു ഏകദേശം നാലര മണിക്കൂര് നേരം ഈ വേം സ്ലീപ്പിംഗ് മോഡിലാകുകയും വീണ്ടും ആക്രമണം ആരംഭിക്കുകയും ചെയ്തു. നൂറോളം വേമുകള് ഓരോ തവണയും മുകളില് പറഞ്ഞ പാക്കറ്റുകള് ഒരു സിസ്റ്റത്തില് നിന്നു മാത്രം പ്രയോഗിച്ച് അതിനെ റിബൂട്ട് ചെയ്യുകയും തുടര്ന്നു www.whitehouse.gov നിന്നുള്ള സര്വീസ് തടഞ്ഞു. കൂടാതെ ഈ വെബ്സൈറ്റ് ഡീഫെയിസ് ചെയ്യപ്പെടുകയും ചെയ്തു.
കോഡ് റെഡ് വേമിന്റെ സോര്സ് കോഡ് ലഭിക്കാന് ഈ വെബ്സൈറ്റ് സന്ദര്ശിക്കുകhttp://indianrenegade.blogspot.in/2007/02/code-red-worm-source-code.html
0 comments: