Internetoví červi na postupu

Lze očekávat, že i letošní rok přinese řadu nákaz ze strany internetových červů. V uplynulých 12 měsících byl ...


Lze očekávat, že i letošní rok přinese řadu nákaz ze strany internetových červů.

V uplynulých 12 měsících byl kybernetický svět několikrát zasažen jedním z
největších masových nebezpečí současné doby internetovými červy. Ani letos na
tom zřejmě nebudeme lépe. Abychom se mohli snáze připravit, shrňme si stručně,
co se na tomto poli dělo v uplynulém období.
Příchod prvního internetového červa loňského roku se uskutečnil 6. února, ale
půda pro tuto událost se začala připravovat už poněkud dříve. A to od 26.
ledna, kdy se světem začal šířit e-mailový červ MyDoom. Ten způsobil kalamitu
nevídaných rozměrů, neboť co do počtu infikovaných e-mailů se mu žádný jiný
obdobný kód nemohl rovnat. (MyDoom ze všech n nalezených e-mailových kontaktů v
infikovaném počítači vytvořil n2 e-mailových adres tak, že stávající adresy
rozdělil na část identifikační a část doménovou a následně kombinací každého s
každým vyrobil matici.) Antivirové firmy odhadovaly, že celosvětově bylo přímo
napadeno kolem jednoho milionu počítačů.
To ale pro šíření internetového červa nebylo až tak důležité. Podstatné bylo,
že MyDoom na infikované počítače instaloval rutinu zadních vrátek otevíral TCP
port 3 127. Takže když se pak první loňský internetový červ začal šířit,
pokoušel se do počítačů dostat právě tak, že náhodně skenoval IP adresy a
hledal tyto otevřené porty. Pokud nějaký nalezl, nakopíroval se do systémového
adresáře Windows jako intrenat.exe a zapsal se do registrů.
Jméno červa bylo DoomJuice (někdy též nepřesně MyDoom.C) a počínaje 8. únorem
2004 se pokoušel provést DDoS (Distributed Denial of Service) útok vůči serveru
www.microsoft.com. Z každého zasaženého počítače posílal donekonečna 16 až 96
paralelních požadavků na zobrazení hlavní stránky výše zmíněného serveru.
Zajímavé je, že DoomJuice obsahoval také rutinu, která do rootových adresářů
všech disků infikovaných počítačů a též do adresáře s uživatelským profilem
umisťovala soubor sync-src-1.00.tbz. Šlo o komprimovaný zdrojový kód
e-mailového červa MyDoom. Proč? Podle některých komentátorů se tak chtěl autor
MyDoomu chránit v případě vyšetřování. Do tohoto okamžiku byl totiž jediným
člověkem na světě, který měl zdrojový kód k dispozici. Po incidentu DoomJuice
ale takovýchto osob byly na celém světě tisíce a přítomnost zdrojového kódu v
počítači tak nemohla být považována za jednoznačný důkaz o vině.

Největší infekce
Největší červí infekce v roce 2004 ovšem začala první květnový den. Tehdy se
objevil červ Sasser, který zneužíval chybu popsanou v Microsoft Security
Bulletin MS04-11: buffer overrun v LSASS (Local Security Authority Subsystem
Service). Ta se týkala počítačů, které:
lPracovaly s operačním systémem Windows 2000 nebo XP (Windows Me a NT nebyly
červem Sasser ohroženy).
lNebyly záplatované proti této známé chybě (oprava přitom byla zveřejněna jen
osmnáct dní před Sasserem).
lByly připojené k internetu bez zabezpečení firewallem.
Neklamnou známkou infekce počítače je přítomnost souboru win.log v kořenovém
adresáři disku c: a opakované padání služby LSASS.EXE vedoucí k restartu
počítače. Podobně se projevoval i červ Blaster (srpen 2003), který si vynucoval
častý restart, což je v konečném důsledku velmi nepříjemné, neboť krom jiného
neumožňuje stažení příslušných bezpečnostních záplat. Sasser se vázal na TCP
porty 445 (na něj útočil), 5 554 (na něm vytvářel FTP server pro své šíření) a
9 996 (otevíral jej pro další útoky: naslouchal na něm příkazům zvenčí). Podle
statistik na serveru www.incidents.org začalo v době kalamity Sasser používat
port 445 nově kolem sedmi set tisíc počítačů dá se tedy předpokládat, že toto
bylo i přibližné číslo infikovaných strojů.
Jen pro zajímavost doplňujeme, že FTP server vytvářený červem Sasser obsahoval
chybu, která byla na dálku zneužitelná. Inkriminovaná chyba se zanedlouho stala
cílem dalšího útoku, a to speciálně pro tento účel vytvořeným červem Dabber.
Jeho nebezpečnost nebyla nikterak vysoká, spíše šlo o krajně neobvyklou
situaci, kdy červ obsahoval chybu, kterou využíval jiný červ.

Postup nákazy
Sasser se šířil na internetového červa víceméně klasickým způsobem: skenoval
náhodné IP adresy, a když našel počítač s výše zmíněnou chybou, snažil se na
něj umístit svoji kopii pomocí protokolu FTP. Postupně se objevilo několik
modifikací červa, které se ovšem od svého předchůdce příliš nelišily. Sasser.C
například dokázal najednou spustit 1 024 skenovacích procesů pro hledání
zranitelných strojů na internetu, zatímco předchozí verze jich aktivovaly jen
128. Sasser.E zase dvě hodiny po napadení počítače zobrazoval dialogové okno, v
němž varoval uživatele, že dotyčný stroj obsahuje chybu (přesně ji popsal), a
dokonce přidával návod, jak ji odstranit (tedy odkud stáhnout příslušnou
záplatu).
Červ Sasser celosvětově způsobil značné problémy (více informací naleznete ve
vloženém textu). Přinutil tak čtyřikrát více uživatelů/administrátorů, než je
běžné, stáhnout si bezpečnostní záplaty. Microsoft dokonce k celému incidentu
zavedl specializovanou stránku: www.microsoft.com/
security/incident/sasser.mspx.
Řádění internetového červa Sasser mělo zajímavou dohru: pouhých šest dní po
objevení první verze zadržela německá policie člověka, kterého obvinila z
autorství. "Pan S. J." (velmi záhy proniklo na veřejnost, že je to osmnáctiletý
Sven Jaschen) se přiznal k vytvoření nejen Sasseru, ale také celé rodiny
e-mailových červů Netsky. Jako důvod uvedl svoji snahu bojovat proti
rozesílatelům spamu stojícími za červy Bagle a MyDoom. Bojoval opravdu
důkladně, protože červu Netsky patří hned pět míst v tabulce deseti
nejrozšířenějších škodlivých kódů roku 2004.
Jaschen byl obviněn z trestného činu počítačové sabotáže, za což mu hrozí
maximální sazba pět let. Vzhledem k tomu, že je dle německých zákonů mladistvý,
je velmi pravděpodobné, že vyvázne pouze s podmínkou. Kolem jeho zatčení se
vznáší nejeden otazník, protože Jaschenovi rodiče ihned po zadržení svého syna
začali prodávat práva na rozhovor se svou nezvedenou ratolestí. Krom toho se
Jaschenův spolužák, který jej nahlásil úřadům, velmi vehementně dožadoval
prémie 250 tisíc dolarů, kterou za dopadení autora Sasseru vypsal Microsoft.
Vzhledem k těmto i dalším zvláštnostem se Microsoft rozhodl odměnu prozatím
nevyplácet a počkat na úplné objasnění případu.

Další červi
V květnu 2004 se postupně objevilo několik dalších červů, které zneužívaly
bezpečnostní nedostatek v LSASS, ale žádný z nich nedosáhl věhlasu a rozšíření
Sasseru. Nejprve to byl 11. května červ Cycle (obsahoval dlouhé texty o
politické situaci v Iránu), následně i další: Bobax (16. 5.), Kibuv (17. 5.) či
Korgo (23. 5.).
Poslední zajímavý internetový červ roku 2004 se objevil pouhé tři dny před
Štědrým večerem 21. prosince. Nesl jméno Santy a jako jeho zvláštnost lze
uvést, že byl vytvořen ve skriptovacím jazyce Perl. Napadal přitom servery
využívající populárního diskusního fóra phpBB ve verzi 2.0.11 nebo nižší. Pro
jejich nalezení pak zneužíval vyhledávače www.google.com z infikovaného
počítače poslal dotaz obsahující slovo viewtopic.php plus náhodnou sekvenci
znaků. Pokud dostal odpověď (Google tedy vyhledal nějaké stránky splňující
příslušné podmínky), pokusil se Santy na příslušný server poslat požadavek
zneužívající chybu Highlight Vulnerability (možnost spuštění programového kódu
na serveru). Bližší informace o této chybě lze nalézt např. na webu:
www.phpbb.com/
phpBB/viewtopic.php?t=240513
Santy obsahoval počítadlo, které s každou další infekcí (tedy generací červa)
zvyšovalo svoji hodnotu o jedna. Jakmile dosáhlo čísla 3, všechny soubory s
příponou htm, php, asp, shtm, jsp a phtm na napadeném serveru byly nahrazeny
HTM stránkou s textem:
This site is defaced!!!
NeverEverNoSanity WebWorm gene ration [ČÍSLO]
Kde [ČÍSLO] je generace červa. Už 22. prosince 2004 byl ale útok červa
zastaven, protože programátoři upravili vyhledávač Google tak, aby na dotazy od
Santy nereagoval.

Sasser ochromil svět
Internetový červ Sasser celosvětově způsobil značné problémy. Díky němu musely
svůj provoz omezit, nebo dokonce přerušit například tři velké banky (Westpac
Bank v Austrálii, Suntrust Bank a American Express v USA). Společnost RailCorp
v Austrálii musela zastavit po útoku Sassera a ochromení své počítačové sítě
vlaky, což se dotklo 300 tisíc cestujících. Fungovat na sto procent nemohly ani
dvě nemocnice ve Švédsku v oblasti Lund bylo zde vyřazeno z provozu 5 000 PC.
Evropská komise v Bruselu se musela na nějakou dobu obejít bez služeb 1 200
počítačů. Zasaženo bylo i devatenáct základen pobřežní stráže ve Velké Británii
stejně jako pošta na Tchaj-wanu (infikováno 1 600 počítačů, což vedlo k
dočasnému uzavření 400 poboček). Problémy měla i letecká doprava: na londýnském
letišti Heathrow spadla síť v celém jednom terminálu a americká společnost
Delta Airlines musela o několik hodin odložit desítky letů kvůli "počítačovému
problému" (toto je jediný ze jmenovaných případů, kdy nebyl útok Sassera
oficiálně potvrzen). A takto bychom mohli dlouho pokračovat.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.