วันจันทร์ที่ 15 กรกฎาคม พ.ศ. 2562

Code Red Worm ( 2001 )




Code Red Worm  2001          พฤติกรรมของหนอนชนิดนี้น่าสนใจมากเพราะปกติติดปุ๊ป จะแสดงอาการปั๊ป แต่สำหรับเจ้านี่มันแนบเนียนมาก โดยช่วงแรกๆมันจะพยายาม กระจายตัวเองอย่างเงียบๆไม่ให้คนที่ติดรู้ตัว ประมาณ 19 วัน หลังจากนั้นจะเริ่มแสดงฤทธิ์เดชความชั่วร้ายออกมา โดยการทำให้คนที่ติดเจ้าหนอนนี้ใช้บริการต่างๆไม่ได้ ไม่เว้นแม้แต่ ทำเนียบขาวก็โดนหนอนตัวนี้ไปแล้วเหมือนกัน หลังจากที่แสดงฤทธิ์เดชไปประมาณ 7 วัน เจ้า code red ก็กลับมาทำตัวสงบเสงี่ยม และเริ่มกระจายตัวต่อไปวนเวียนวิธีแบบนี้เรื่อยๆ









วิธีแก้ไขCode Red Worm
หลังจากที่ Code Red เวอร์ชันแรกๆ สามารถ compromise ระบบที่ติดตั้ง WindowsNT4.0/2000 ที่ไม่ได้ติดตั้ง patch จาก Microsoft มันอาศัยช่องโหว่ของ Buffer Overflow ใน IIS Indexing Service DLL ในการกระจายตัวได้ในช่วงเดือนกรกฏาคมที่ผ่านมา ได้มีการค้นพบ Code Red II ซึ่งยังอาศัยช่องโหว่เดิม แต่เพิ่มความร้ายกาจ โดยการสร้าง backdoor ไว้ในระบบจำนวนมาก (รายละเอียดโปรดอ่านใน http://www.eeye.com/html/Research/Advisories/AL20010804.html) และสำหรับวิธีการป้องกันนั้นยังเหมือนกับ Code Red ตัวเก่าคือ
สำหรับการติดตั้ง patch นั้น จะต้องติดตั้ง service pack ล่าสุดก่อน ทั้งนี้โดย Windows NT นั้น สามารถดาวน์โหลด SP6a ได้ที่http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/allSP6.asp
สำหรับ Windows 2000 ทุกเวอร์ชัน ดาวน์โหลด SP2 ได้ที่http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp
หลังจากการติดตั้ง service pack ล่าสุดแล้ว ให้ดาวน์โหลด patch จาก Microsoft ดังนี้
WindowsNT4.0 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Windows2000 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
แต่สำหรับในกรณีที่เครื่องของท่านถูกคุกคามโดย Code Red II แล้ว และต้องการกำจัดตัว Code Red II ออกจากระบบก็สามารถทำได้โดยดาวน์โหลดเครื่องมือจาก Microsoft ที่ http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878 (รายละเอียดของเครื่องมือนี้มีให้อ่านได้ที่ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redfix.asp ) ซึ่ง Microsoft ได้ให้คำแนะนำคร่าวๆ ว่า สามารถกู้ระบบคืนได้จาก Code Red II เท่านั้น ไม่สามารถกู้ระบบได้จาก worm ที่เลียนแบบซึ่งอาจจะมีความแตกต่างกันได้
สำหรับคำแนะนำของ ThaiCERT คือ เราไม่สามารถทราบได้เลยว่า เครื่องของเราถูก attack โดย Code Red II ตัวจริงหรือไม่ เพราะ worm เหล่านี้รวมทั้งตัวเลียนแบบด้วย จะใช้ signature ที่คล้ายๆ กัน เพียงแต่การปฏิบัติการหลัง compromise ได้สำเร็จนั้นอาจจะมีความแตกต่างกันในปลีกย่อย ทั้งนี้เนื่องจากเราไม่สามารถทราบได้เลยว่ามี backdoor หลงเหลือในระบบของเรากี่ตัว ดังนั้นจึงขอแนะนำให้ท่าน format ระบบของท่านใหม่ (ก่อนอื่นควรจะสำรองข้อมูลก่อน)