Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:crvi [2020/12/29 01:46]
icindric [1.1. Povijest Crva] 		racfor_wiki:crvi [2024/12/05 12:24] (trenutno)
Redak 41: Redak 41:
 \\ **Algoritam za odabir mete:** \\ \\ **Algoritam za odabir mete:** \\
 Služi za traženje nove žrtve. Služi za traženje nove žrtve.
-Neki od mogućih načina traženja žrtve su pretraživanje adresa elektroničke pošte, /etc/hosts, pretraživanje račinala u lokalnoj mreži, upiti putem DNS-a, slučajno generirane IP adrese... +Neki od mogućih načina traženja žrtve su pretraživanje adresa elektroničke pošte, /etc/hosts, pretraživanje računala u lokalnoj mreži, upiti putem DNS-a, slučajno generirane IP adrese... 
-\\ **Sutav za odabir mete:** \\+\\ **Sustav za odabir mete:** \\
 Na popis pronađen algoritmom za odabir mete se šalju datagrami na različite portove te se skeniraju ranjivosti. Na popis pronađen algoritmom za odabir mete se šalju datagrami na različite portove te se skeniraju ranjivosti.
 Cijeli postupak na novoj žrtvi se započinje iznova. Cijeli postupak na novoj žrtvi se započinje iznova.
Redak 54: Redak 54:
 \\ //Code Red// je bio prvi uspješan napad velikog razmjera na //enterprise// mreže. \\ //Code Red// je bio prvi uspješan napad velikog razmjera na //enterprise// mreže.
 \\ Crva su otkrili Marc Maiffret i Ryan Permeh, zaposlenici kompanije //eEye Digital Security//. \\ Crva su otkrili Marc Maiffret i Ryan Permeh, zaposlenici kompanije //eEye Digital Security//.
-\\ Nazvan je //Code Red// jer su u to vrijeme pili //Code Red Mountain Dew// piće.[5+\\ Nazvan je //Code Red// jer su u to vrijeme pili //Code Red Mountain Dew// piće.[2
-\\ Prva verzija se naziva CRv1. Druga verzijam detektirana 19. srpnja, koja je dijelila gotovo sve karakteristike s prvom verzijom, počela se širiti puno brže od originalne verzije.+\\ Prva verzija se naziva CRv1. Druga verzija, detektirana 19. srpnja, je dijelila gotovo sve karakteristike s prvom verzijom. Počela se širiti puno brže od originalne verzije.
 \\ Procjenjuje se da je unutar samo devet sati zaraženo više od četvrt milijuna računala diljem svijeta. \\ Procjenjuje se da je unutar samo devet sati zaraženo više od četvrt milijuna računala diljem svijeta.
 \\ Ta verzija se naziva CRv2.[6] \\ Ta verzija se naziva CRv2.[6]
Redak 85: Redak 85:
 Jedina razlika je bila činjenica da u ovoj verziji nije korišten statičan seed za generiranje liste IP adresa. Jedina razlika je bila činjenica da u ovoj verziji nije korišten statičan seed za generiranje liste IP adresa.
 \\ Stoga je propagacija crva kroz mrežu bila mnogo brža. Unutar prvih 14 sati je bilo zaraženo 359 000 računala. \\ Stoga je propagacija crva kroz mrežu bila mnogo brža. Unutar prvih 14 sati je bilo zaraženo 359 000 računala.
-\\ CRv2 je također imao neželjeni učinak i na druge dijelove mreže (osim računala) poput usmjerivaća, mrežnih preklopnika i printera. +\\ CRv2 je također imao neželjeni učinak i na druge dijelove mreže (osim računala) poput usmjerivača, mrežnih preklopnika i printera. 
 \\ Iako ti uređaji nisu bili zaraženi, crv ih je tjerao na ponovno pokretanje. \\ Iako ti uređaji nisu bili zaraženi, crv ih je tjerao na ponovno pokretanje.
 \\ \\ Zbog toga što su obje verzije bile spremljene u radnoj memoriji, mogli su biti uklonjeni gašenjem računala. \\ \\ Zbog toga što su obje verzije bile spremljene u radnoj memoriji, mogli su biti uklonjeni gašenjem računala.
 No, postojala je vrlo velika šansa nove zaraze pošto početna ranjivost i dalje nije riješena.[7] No, postojala je vrlo velika šansa nove zaraze pošto početna ranjivost i dalje nije riješena.[7]
 +\\  
 +Ovdje su prikazane neke informacije o širenju crva 19.7.2001. 
 +\\ \\  
 +{{:racfor_wiki:malware:cumulative-ts.gif?nolink|}} 
 +{{:racfor_wiki:malware:rate-ts.gif?nolink|}} 
 +{{:racfor_wiki:malware:code-red-large.png?nolink&600|}}
 ==== 2.3. Iskorištavanje Ranjivosti ==== ==== 2.3. Iskorištavanje Ranjivosti ====
 === 2.3.1. Ručni napad === === 2.3.1. Ručni napad ===
Redak 126: Redak 131:
 closesocket closesocket
 </code> </code>
-  -  Crv izvodi akciju //WriteClient// (sadržana u //ISAPI//), koja šalje GET natrag crvu napadaću obaviještavajući ga o novoj infekciji. +  -  Crv izvodi akciju //WriteClient// (sadržana u //ISAPI//), koja šalje GET natrag crvu napadaču obaviještavajuči ga o novoj infekciji. 
-  - Crv broji trenutno pokrenute dretve. Ako je broj pokrenutih dretvi manji od 100, crv ponovno pokreće osnovni kod u novoj dretvi, stvarajući do 100 kopija koje koriste isti kod. Ako je broj dretvi veči od 100, crv stvara novu dretvu koja može izmijeniti funkcionalnost web stranice (ako su zadovoljeni određeni uvjeti).+  - Crv broji trenutno pokrenute dretve. Ako je broj pokrenutih dretvi manji od 100, crv ponovno pokreće osnovni kod u novoj dretvi, stvarajući do 100 kopija koje koriste isti kod. Ako je broj dretvi veći od 100, crv stvara novu dretvu koja može izmijeniti funkcionalnost web stranice (ako su zadovoljeni određeni uvjeti).
   - Crv ima ugrađeni 'deficit lizina'. To je provjera koja sprječava maliciozni kod da se širi bez kontrole. Izvodi se provjera na 'c:\notworm' da se ustanovi je li trenutni sistem već bio zaražen. Ako jest, crv prelazi u mirovanje, a inače nastavlja s infekcijom.   - Crv ima ugrađeni 'deficit lizina'. To je provjera koja sprječava maliciozni kod da se širi bez kontrole. Izvodi se provjera na 'c:\notworm' da se ustanovi je li trenutni sistem već bio zaražen. Ako jest, crv prelazi u mirovanje, a inače nastavlja s infekcijom.
   - Crv saznaje lokalno vrijeme sustava (UTC). Ako je vrijeme veće od 20:00 UTC, crv izvodi DoS napad na //www.whitehouse.gov//. Ako je vrijeme manje od 20.00 UTC, crv pokušava zaraziti dodatne sustave.   - Crv saznaje lokalno vrijeme sustava (UTC). Ako je vrijeme veće od 20:00 UTC, crv izvodi DoS napad na //www.whitehouse.gov//. Ako je vrijeme manje od 20.00 UTC, crv pokušava zaraziti dodatne sustave.
Redak 152: Redak 157:
 \\ Nakon toga, crv spava četiri sata. \\ Nakon toga, crv spava četiri sata.
 ==== 2.4. Identifikacija Napada i Zaštita ==== ==== 2.4. Identifikacija Napada i Zaštita ====
 +
 +=== 2.4.1. Identifikacija ===
 +
 +\\ **Identifikacija logovima.** \\ 
 +\\ Ako je poslužitelj napadnut Code Red crvom, postoji zapis u logovima poslužitelja.
 +Bitno je za napomenuti da će zapis postojati neovisno o tome je li sustav zaražen ili nije.
 +Stoga je nemoguće odrediti je li sustav zaražen samo na temelju logova.
 +\\ Međutim, ako postoji zapis i zna se da sustav nije osiguran od ove specifične ranjivosti, postoji vrlo velika šansa da je sustav zaražen.
 +\\ Primjer zapisa koji bi se mogao nalaziti u logu je:
 +\\ <code>
 +"GET default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
 +NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
 +NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
 +NNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909
 +0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 10100 "-" "-"
 +</code>
 +\\ **Drugi načini detekcije.** \\ 
 + \\ 
 +Administratori poslužitelja mogu uočiti da poslužitelji rade sporije ili drugačije.
 +\\ Crv može koristiti veliki broj CPU ciklusa, što može rezultirati smanjenim performansama.
 +\\ Za otkrivanje crva administrator može provjeriti procese koje se izvode na računalu s ciljem ustanovljavanja postoje li neželjeni procesi na poslužitelju.
 +\\ Također, korištenjem //netstat// instrukcije, može se dobiti popis TCP i UDP konekcija. Pomoću toga se može ustanoviti postoji li neočekivano veliki broj konekcija. 
 +\\ Ako je konfiguriran vatrozid, može se provjeriti aktivnost na vatrozidu i ustanoviti postoji li sumnjiva komunikacija.
 +\\   \\ 
 +=== 2.4.1. Zaštita ===
 +\\ 
 +Imajući na umu potencijalne zlonamjerne mogućnosti, potrebno je bilo pronaći efektivne načine zaštite.
 +Vatrozidovi nisu bili adekvatna zaštita zato jer crv putuje mrežom koristeći port 80 te je zbog toga takav promet vrlo teško filtrirati.
 +\\ Jedini način da se u potpunosti spriječi ovakva vrsta napada jest osiguravanje da su na svim sustavima instalirane adekvatne zakrpe.
 +\\ Pošto se radi o staroj ranjivosti, pojedinačne zakrpe više nije moguće instalirati pošto je ranjivost uklonjena u svim novijim (manje od petnaestak godina starosti) verzijama Microsoft servisa.
 +\\ Također, općenito gledano, dobra praksa je provoditi tzv. '//OS hardening//', odnosno, onemogućiti sve servise i mogućnosti koje nisu potrebne za izvođenje osnovnih funkcionalnosti poslužitelja.[7]
 =====3. Zaključak ===== =====3. Zaključak =====
  
 +Ova ranjivost i napad je star gotovo 20 godina.
 +\\ Međutim, slični napadi i prijetnje se mogu desiti i danas.
 +\\ Vrlo je važno da su svi sustavi ažurirani s najnovijim zakrpama i da se poštuju pravila sigurnosti informacijskih sustava u cilju ublažavanja mogućih budućih prijetnji i napada.
 +\\ Važno je uvidjeti da prijetnje uvijek postoje. Uvijek će postojati utrka između sigurnosti informacijskih sustava i potencijalnih ranjivosti koje su sigurnost mogu ugroziti.
 =====4. Literatura ===== =====4. Literatura =====
  
Redak 162: Redak 202:
 [3] [[https://en.wikipedia.org/wiki/Computer_worm]] [3] [[https://en.wikipedia.org/wiki/Computer_worm]]
  
-[4] Sigurnost i ranjivost operacijskog sustava, Zlonamjeni softver. Virusi, crvi, trojanci. Primjeri iz okruženja Windows i Unix. | Fakultet Elektrotehnike i Računarstva, kolegij 'Sigurnost u Internetu', 2020.+[4] Sigurnost i ranjivost operacijskog sustava, Zlonamjerni softver. Virusi, crvi, trojanci. Primjeri iz okruženja Windows i Unix. | Fakultet Elektrotehnike i Računarstva, kolegij 'Sigurnost u Internetu', 2020.
  
-[5] [[https://en.wikipedia.org/wiki/Code_Red_(computer_worm)]]+[5] [[https://www.scientificamerican.com/article/code-red-worm-assault-on/]]
  
 [6] [[https://www.giac.org/paper/gsec/1162/code-red-worm/102232]] [6] [[https://www.giac.org/paper/gsec/1162/code-red-worm/102232]]
racfor_wiki/crvi.1609206413.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0