We have 20 guests online

അംഗങ്ങൾ : 1168
ലേഖനങ്ങൾ : 152
കോഡ് റെഡ് E-mail
സൈബർ സെക്യൂരിറ്റി
Written by RMR   
Monday, 22 June 2009 23:30
AddThis

കോഡ് റെഡ് വേമുകള്‍ ( Code Red Worms)
2001 ജൂണ്‍ പതിനെട്ടാം തീയതി eeye എന്ന വെബ് സൈറ്റ് മൈക്രൊസോഫ്റ്റ് ഐ ഐ എസ് സെര്‍വറിലെ ദൌര്‍ബല്യങ്ങള്‍ വെളിപ്പെടുത്തുന്ന ഒരു ലേഖനം അവരുടെ സൈറ്റില്‍ പ്രസിദ്ധീകരിക്കുകയുണ്ടായി. ISAPI (Internet Server Application Program Interface) എന്ന ബഫര്‍ ഫില്‍റ്ററിംഗ് സംവിധാനത്തിലെ ഗുരുതരമായ സുരക്ഷാ പാളിച്ചകളെപറ്റിയുള്ളവാ‍യിരുന്നു ഇവ. ഇതു വഴി സിസ്റ്റത്തിനെ റിമോട്ടായി ആക്രമിക്കുവാന്‍ സാധിക്കും എന്നുള്ളതായിരുന്നു ഈ അര്‍ട്ടിക്കിളിലുണ്ടായിരുന്നതു് .
ജൂലൈ 13, രണ്ടായിരത്തി ഒന്നിനാണ് കോഡ് റെഡ് വേമുകള്‍ ആദ്യമായി ഇന്റര്‍നെറ്റില്‍ പ്രത്യക്ഷപ്പെടുന്നത്. മണിക്കുറുകള്‍ കൊണ്ടു ഇവ ഇന്റര്‍നെറ്റിലെ മൈക്രോസോഫ്റ്റ് ഐ ഐ എസ് സെര്‍‌വറുകള്‍ ഉപയോഗിക്കുന്ന വെബ് സെര്‍വറുകളെ വിനാശകരമായ രീതിയില്‍ ബാധിച്ചു. സിസ്റ്റം ക്ലോക്കിലെ ഡേറ്റ് ഒന്നാം തീയതിക്കും പത്തൊമ്പതാം തീയതിക്കും ഇടയിലുള്ളവയാണെങ്കില്‍ ഇവ റാന്‍ഡം ആയി വെബ്സെര്‍വറുകളിലെ ഐ പി റേഞ്ചിലെ അഡ്രസുകള്‍ തനിയെ ജെനറേട് ചെയ്തു അവയുപയോഗിച്ചു മറ്റു വെബ് സെര്‍വറുകളെ ആക്രമിക്കുകയുമായിരുന്നു ചെയ്തത്. (ഇരുപതാം തീയതി ആക്രമണം അവസാനിക്കുന്ന രീതിയിലായിരുന്നു ഈ വേം പ്രോഗ്രാം ചെയ്തിരുന്നതു). ഇവയില്‍ നിന്നും വീണ്ടും ഐപി അഡ്രസുകളെ ലിസ്റ്റ് ചെയ്യുകയും പിന്നീട് അവയുപയോഗിച്ച് കൂടുതല്‍ വെബ് സെര്‍വറുകളെ അധീനതയില്‍ ആക്കുകയും ചെയ്തു. രണ്ടാമത്തെ കോഡ് റെഡ് വേമിന്റെ വകഭേദത്തെ അപേക്ഷിച്ചു ആദ്യത്തെ കോഡ് റെഡ് വേം വളരെകുറഞ്ഞ ഉപദ്രവമായിരുന്നു വെബ്സെര്‍വറുകള്‍ക്കു ഉണ്ടാക്കിയതു്. ഇവ വെബ് സെര്‍വറുകളെ റീബൂട്ട് ചെയ്യുകമാത്രമാണുണ്ടായതു്. എന്നാല്‍ റീബൂട്ട് ചെയ്യപ്പെട്ടതിനു ശേഷവും അവ കോഡ് റെഡ് വേമിനാല്‍ (CRv1) തുടരെ തുടരെ ഇന്‍ഫെക്റ്റ് ചെയ്യപ്പെടുകയുണ്ടായി.

വളരെ ഉയര്‍ന്ന തലത്തിലുള്ള അപകടമായിരുന്നു കോഡ് റെഡ് വേമിന്റേതു്. ഏകദേശംപന്ത്രണ്ടായിരത്തോളം വെബ് സെര്‍വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ ( CRv1) ആക്രമണത്തിനിരയായതു്. GET എന്ന കമാന്റുപയോഗിച്ചു വെബ് സര്‍വറുകളുമായി ഒരു കണക്ഷന്‍ സ്ഥാപിക്കുകയും പിന്നീട് അവയെ ബഫര്‍ ഓവര്‍ഫ്ലോ എന്നറിയപ്പെടുന്ന ആക്രമണം വഴി അധീനതയിലാക്കുകയുമാണ് കോഡ് റെഡ് വേം ചെയ്തതു്. സിസ്റ്റം മെമ്മറിയില്‍ ഇന്‍‌ഫെക്റ്റ് ചെയ്യുന്ന കോഡിംഗ് രീതിയായിരുന്നു കോഡ് റെഡ് വേമില്‍ ( CRv1) ഉപയോഗിച്ചിരുന്നതു്. അതു കൊണ്ട് തന്നെ സിസ്റ്റത്തിന്റെ ഹാര്‍ഡ് ഡിസ്കില്‍ നിന്നും ഇതിന്റെ യാതൊരു ലക്ഷണവും കണ്ടെടുക്കാന്‍ സാധിച്ചിരുന്നില്ല ഒരേ സമയം കോഡ് റെഡിന്റെ തന്നെ ഏകദേശം 100 വേമുകളുടെ പകര്‍പ്പുകള്‍ ഉപയോഗിച്ച് ആക്രമിച്ച ഇവ ആദ്യം സിസ്റ്റം ക്ലോക്കിന്റെ സമയം പിന്നാക്കം മാറ്റുകയും പിന്നീട് അതിന്റെ പ്രവര്‍ത്തനം ആരംഭിക്കുകയും ചെയ്തു. ആദ്യം അധീനതയിലാക്കിയ വെബ് സെര്‍വറുകളിലെ ഐപി അഡ്രസുകള്‍ റാന്‍‌ഡം ആയി ഉപയോഗിച്ചു പോര്‍ട്ട് നമ്പര്‍ 80 വഴി മറ്റു വെബ്സെര്‍വറുകളിലേക്കു എച്ച് റ്റി റ്റി പി ഫ്ലഡ് എന്ന ആക്രമണ രീതിയായിരുന്നു അവലംബിച്ചിരുന്നതു്. ഇംഗ്ലീഷ് ഭാഷയിലുണ്ടായിരുന്ന വെബ് സെര്‍വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ പ്രധാന ലക്ഷ്യം. തുടര്‍ന്ന് ഇവയുപയോഗിച്ച് www.whitehouse.gov എന്ന വെബ്സൈറ്റിനെ ആക്രമിക്കുകയുണ്ടായി. ഒരേ സമയം ഒരു ലക്ഷത്തോളം പാക്കറ്റുകളായിരുന്നു www.whitehouse.gov എന്ന വെബ്സൈറ്റിനു നേരെ കോഡ് റെഡ് വേം 1 പ്രയോഗിച്ചതു്. തുടര്‍ന്നു ഏകദേശം നാലര മണിക്കൂര്‍ നേരം ഈ വേം സ്ലീപ്പിംഗ് മോഡിലാകുകയും വീണ്ടും ആക്രമണം ആരംഭിക്കുകയും ചെയ്തു. നൂറോളം വേമുകള്‍ ഓരോ തവണയും മുകളില്‍ പറഞ്ഞ പാക്കറ്റുകള്‍ ഒരു സിസ്റ്റത്തില്‍ നിന്നു മാത്രം പ്രയോഗിച്ച് അതിനെ റിബൂട്ട് ചെയ്യുകയും തുടര്‍ന്നു www.whitehouse.gov നിന്നുള്ള സര്‍വീസ് തടഞ്ഞു. കൂടാതെ ഈ വെബ്സൈറ്റ് ഡീഫെയിസ് ചെയ്യപ്പെടുകയും ചെയ്തു.

അതിനു ശേഷം ജൂലൈ പത്തൊമ്പതാം തീയതി കോഡ് റെഡ് വേം 1 വേര്‍ഷന്‍ 2 എന്നറിയപ്പെടുന്ന (CRv2) രണ്ടാമത്തെ വകഭേദം ഇറങ്ങി. അവ ഏകദേശം രണ്ടു ലക്ഷത്തി നാല്പതിനായിരത്തോളം കമ്പ്യൂട്ടറുകളെ 48 മണിക്കൂര്‍ കൊണ്ട് ആക്രമിക്കുകയുണ്ടായി. ഓരോ മിനിട്ടിലും 2000 എന്ന കണക്കിലായിരുന്നു ഇവ സിസ്റ്റങ്ങളെ ഇന്‍ഫെക്റ്റ് ചെയ്തു കൊണ്ടിരുന്നതു്. അമേരിക്കയില്‍ മാത്രം 43 ശതമാനത്തോളം സിസ്റ്റങ്ങളായിരുന്നു ഇവയുടെ ആക്രമണത്തിനു വിധേയമായതു്. അതില്‍ 11 ശതമാനം കൊറിയയില്‍ നിന്നും, അഞ്ച് ശതമാനം ചൈനയില്‍ നിന്നും 4 ശതമാനം തയ്‌വാനില്‍ല്‍ നിന്നുമായിരുന്നു ഇന്‍ഫെക്റ്റ് ചെയ്തിരുന്നതു്. .NET എന്ന ടോപ്പ് ലെവല്‍ ഡൊമെയിന്‍ സെര്‍വറിന്റെ 19 % ത്തോളം ഡൊമെയിനുകളും ഇവയുടെ ആക്രമണത്തിനു വിധേയമായി. അവയില്‍ 14 %ത്തോളം .com , 2% . edu എന്നീ ഡൊമെയിന്‍ നെയിം എക്സ്റ്റന്‍ഷനുകളില്‍ അവസാനിക്കുന്നവയായിരുന്നു ഇവ റൌട്ടറുകളുടെയും, മോഡത്തിന്റെയുമൊക്കെ പ്രവര്‍ത്തനത്തെ സാരമായി ബാധിക്കുകയുണ്ടായി. തുടര്‍ന്നു ഐ ഐ എസ് സെര്‍വറുകളുടെ ഈ ദൌര്‍ബല്യങ്ങള്‍ മാറ്റുന്നതിനുള്ള പാച്ചുകള്‍ ഇറങ്ങി. മെമ്മറി ബെയിസ്ഡ് വേമുകള്‍ ആയിരുന്നതിനാല്‍ ഒരിക്കല്‍ റീബൂട്ട് ചെയ്തു കഴിഞ്ഞാല്‍ പിന്നെ ഇവ സിസ്റ്റത്തില്‍ നിന്നും നീക്കം ചെയ്യപ്പെട്ടു. എന്നാല്‍ സെര്‍വറുകള്‍ വീണ്ടും വീണ്ടും ഇവയുടെ ആക്രമണത്തിനു വിധേയമായിക്കൊണ്ടേയിരുന്നു.

ആഗസ്റ്റ് നാലാം തീയതി മുന്‍പിറങ്ങിയ കോഡ് റെഡ് വേമുകളെ നിഷ്പ്രഭമാക്കുന്ന രീതിയില്‍ അതിന്റെ പുതിയ വകഭേദം ഇറങ്ങുകയുണ്ടായി. ഇവ കോഡ് റെഡ് വേം 2 എന്നാ‍ണ് അറിയപ്പെട്ടിരുന്നതു്. ഇവയൊരിക്കലും കോഡ് റെഡ് വേം ഒന്നിനെപോലെയായിരുന്നില്ല, മാത്രമല്ല മെമ്മറി ബെയിസ്ഡ് വേമുകള്‍ അല്ലാതിരുന്നതിനാല്‍ ഒരിക്കല്‍ റീബൂട്ട് ചെയ്ത് കഴിഞ്ഞാലും ഇവയെ സിസത്തില്‍ നിന്നും നീക്കം ചെയ്യാന്‍ സാധിച്ചിരുന്നില്ല. ഇവ സിസ്റ്റത്തിനുള്ളില്‍ പ്രവേശിച്ച് അതില്‍ ബാക്ക് ഡോറുകള്‍ ക്രിയേറ്റ് ചെയ്യുകയും വെബ്സെര്‍വറുകളെ റീബൂട്ട് ചെയ്യുന്ന പ്രക്രിയ തുടര്‍ന്ന് കൊണ്ടെയിരിക്കുകയും ചെയ്തു. റീബൂട്ട് ചെയ്തു കഴിഞ്ഞതിനു ശേഷം ഈ വേമുകള്‍ അതിന്റെ പ്രവര്‍ത്തനം പൂര്‍ണ്ണ തോതില്‍ ആരംഭിക്കുകയും അവ ഒരു സിസ്റ്റത്തില്‍ നിന്നും മറ്റൊരു സിസ്റ്ററ്റത്തിലേക്കു പകര്‍ത്തപ്പെടുകയും ചെയ്തു. എന്നാല്‍ ഇവയൊന്നും തന്നെ ചൈനീസിലോ തായ് ഭാഷകളിലോ ഉള്ള സിസ്റ്റത്തിനെ ഇന്‍ഫെക്റ്റ് ചെയ്യുകയുണ്ടായില്ല. ഈ വേമുകള്‍ ഓരോ സിസ്റ്റത്തിലും 600 ത്രെഡുകള്‍ വീതം ക്രിയേറ്റ് ചെയ്യുകയും അവ ഓരോന്നും 300 ത്രെഡുകള്‍ ഉപയോഗിച്ച് മറ്റു സിസ്റ്റങ്ങളിലേക്കു ഇന്‍ഫെക്റ്റ് ചെയ്യുകയും ചെയ്തു. കോഡ് റെഡ് ഒന്നിനെ അപേക്ഷിച്ച് കൂടൂതല്‍ ശേഷിയുള്ളതായിരുന്നു കോഡ് റേഡ് 2 വേമുകള്‍. ഇവ റാന്‍ഡം ആയി ഐപി അഡ്രസുകള്‍ ക്രിയേറ്റ് ചെയ്യുകയും അതുപയോഗിച്ച് മറ്റു സിസ്റ്റങ്ങളെ ഇന്‍ഫെക്റ്റ് ചെയ്യുകയും ചെയ്തു. ഇതിനായി ഇന്‍ഫെക്റ്റ് ചെയ്ത വെബ്സെര്‍വറിന്റെ ഐ പി അഡ്രസ് 10.25.35.42 ആണെങ്കില്‍ ഇവ 10 ഇല്‍ തുടങ്ങുന്ന ഐപി അഡ്രസുകള്‍ റാന്‍ഡം ആയി ജനറേറ്റ് ചെയ്യുകയും അവയിലേക്കു കടക്കുവാന്‍ ശ്രമിക്കുകയും ചെയ്തു. തുടര്‍ന്ന് 10.25 ഇല്‍ തുടങ്ങുന്ന ഐപി അഡ്രസുകളെ റാന്‍ഡം ആയി ജനറേറ്റ് ചെയ്യുകയും അവയിലേക്കും. എന്നാല്‍ മള്‍ട്ടികാസ്റ്റിംഗിനു ഉപയോഗിക്കുന്ന ഐപി അഡ്രസിലേക്കും, സെല്‍ഫ് പിംഗിനു ഉപയോഗിക്കുന്ന ഐപി അഡ്രസിലേക്കുമുള്ള ശ്രമങ്ങള്‍ ഒഴിവാക്കിയിരുന്നു. ഇങ്ങനെ ആക്രമിക്കപെട്ട സിസ്റ്റങ്ങളിലേല്ലാം തന്നെ കോഡ് റെഡ് വേം2 ബാക്ക് ഡോറുകള്‍ സൃഷ്ടിക്കുകയും അവയെ പിന്നീടുള്ള എന്തു കോഡും റിമോട്ടായി ഇന്‍സ്റ്റാള്‍ ചെയ്തു ഡി ഡി ഓ എസ് ആക്രമണത്തിനുപയോഗിക്കുവാനായി മാറ്റിയെടുക്കുകയും ചെയ്തു. മൈക്രോസോഫ്റ്റ് പിന്നീട് ഇവയെ മറികടക്കുന്നതിനായുള്ള പാച്ചുകള്‍ ഡെവലപ്പ് ചെയ്യുകയുണ്ടായി.

ഇന്‍ഫെക്റ്റ് ചെയ്യപ്പെട്ട സിസ്റ്റങ്ങളില്‍ നിന്നും കണ്ടെടുക്കപ്പെട്ട കോഡുകളില്‍ “CodeRedII“ എന്ന വാക്കുണ്ടായിരുന്നതിനാലാണ് കോഡ് റെഡ് വേമുകള്‍ എന്ന് ഇവ അറിയപ്പെടാനുള്ള കാരണം. ചൈനയില്‍ നിന്നുമാണ് കോഡ് റെഡ് വേമിന്റെ ഉല്‍ഭവം എന്നു ഇന്റര്‍നെറ്റ് സെക്യൂരിറ്റി വിദഗ്ദര്‍ വിശ്വസിച്ചു പോരുന്നു.അതു മാത്രമല്ല ചൈനീസിലൊ തായിലൊ ഉള്ള വെബ്‌സെര്‍വറുകളെയൊന്നും തന്നെ കോഡ് റെഡ് ബാ‍ധിച്ചിരുന്നില്ല.
Last Updated on Sunday, 05 July 2009 23:40