Code Red solucanı - Ağ güvenliğinde solucan yayılımlarının incelenmesi ve yeni model yaklaşımla

1.2. Saldırı

2.1.2. Code Red solucanı

Microsoft IIS sunucularının açıklarını kullanan Code Red solucanı ilk 13 Temmuz 2001 tarihinde internette yayıldı. Bu Code Red solucanının ilk versiyonuydu. Ancak solucanın saldıracağı adresleri seçmesini sağlayan rastgele sayı üreticisinde ortaya çıkan hata nedeniyle bu birinci versiyon çok fazla bilgisayarı etkilemedi. Code Red‟in ikinci versiyonu 19 Temmuz 2001 tarihinde internette yayılmaya baĢladı. Bu versiyon ilk versiyon ile benzer özelikler taĢıyordu ve rastgele sayı üreticisinde ortaya çıkan sorunun giderilmesiyle çok hızlı bir biçimde yayılmaya baĢladı [9]. 4 Ağustos 2001 tarihinde ise Code Red II solucanı fark edildi. Bu solucan Code Red I solucanlarının kullandığı aynı açığı kullanıyordu ancak tamamen farklı bir koda sahipti. Ancak solucanın kodunda “CodeRedII” yazısı bulunması nedeniyle solucan Code Red II Ģeklinde isimlendirildi [9].

2.1.2.1. Code Red versiyon I (13 Temmuz 2001)

Code Red solucanı modern yazılım tarihindeki büyük zarara yol açan ilk solucandır. Microsoft IIS sunucularında yer alan tampon bellek taĢması açığını kullanıyordu. Bir makineyi enfeksiyonlu hale getirmek için ilk olarak ayın tarihini sınar. Eğer ayın tarihi 1 ile 19 arasında bir gün ise rastgele sayı üreticisi çalıĢmaya baĢlar ve rastgele

adresler üretir. Solucan üretilen bu sayıları saldırı düzenleyeceği adresleri belirlemek üzere üretir. Ancak Code Red solucanının görülen bu ilk örneğinde rastgele sayı üretici fonksiyonunda bir hata vardı. Rastgele sayı üreticisi sabit bir sayıdan baĢlıyor ve bu nedenle her bir makinede ürettiği saldırılacak adres listeleri aynı oluyordu. Solucan saldıracak adres belirlemeyi her ayın yirmisinde durduruyor, baĢka bir atak fazına geçiyordu. Ayın geri kalan günlerinde, ayın 20 ile 28‟ i arasındaki günlerinde www.whitehouse.gov adresine DoS (Denial of Service – Hizmet Engelleme) saldırısı gerçekleĢtiriyordu. Saldırdığı web sitelerini “Hacked by Chinese” ibaresi ile çökertiyordu. Fakat bu söylemi destekleyecek veya çökertebilecek bir delil hiçbir zaman bulunamadı [9].

Solucanın bu versiyonu çok büyük bir zarara sebep olmadı. Bazı siteleri “Hacked by Chinese” imzası ile çökertti. Code Red infekte makinelerin ve yerel ağların kaynaklarını kendisini yaymak için kullanmasına rağmen, global alanda küçük bir etki yaratabildi [9].

Code Red versiyon I ile enfeksiyon bulaĢmıĢ bir bilgisayara basit bir biçimde iĢletim sistemi yüklendikten sonra bilgisayar solucandan arındırılabiliyordu. Ancak geri yüklemeden sonra önlem alınmadığı takdirde makineye yeniden solucan bulaĢması olasılık dahilindeydi [9].

2.1.2.2. Code Red versiyon II (19 Temmuz 2001)

Code Red versiyon II solucanı, 19 Temmuz 2001 tarihinde internette görüldü. Bu solucan da Code Red versiyon I solucanı gibi Microsoft IIS Web sunucularının açıklarını kullanıyordu. Fakat Code Red versiyon I‟den farklı olarak rastgele sayı üreticisindeki hata giderilmiĢti. Rastgele sayı üreticisi sabit bir sayıdan baĢlamıyordu. Böylece her bir bilgisayar farklı IP adreslerindeki bilgisayarlara saldırı düzenliyordu. Bu küçük gibi görünen değiĢikliğin etkisi çok büyük oldu. C.A.I.D.A.‟ nın verilerine göre 14 saat içinde 359.000‟den fazla bilgisayara enfeksiyon bulaĢtı. Dakikada 2000 sunucuya yayıldı. ġekil 2.2 ve ġekil 2.5‟de Code Red Solucanı‟nın saatler içindeki hızlı yayımlı haritada gösterilmiĢtir. Ayrıca ġekil 2.3 Code Red Solucanı‟nın yayılım grafiğini içermektedir. ġekil 2.4‟e bakılırsa ağa yeni dahil olan bir bilgisayara çok büyük bir hızla enfeksiyon bulaĢtığı görülecektir.

ġekil 2.2: Code Red yayılım baĢlangıcı [15]

ġekil 2.3: C.A.I.D.A. Code Red solucanı yayılım ölçümü [28]

ġekil 2.5: Code Red yayılım sonucu [14]

Code Red versiyon I solucanının tek zararı bazı web sitelerine zarar vermek ve “Hacked by Chinese” mesajını sitelere yerleĢtirmekti. Ancak Code Red versiyon II web arayüzlerindeki bazı cihazlara da; yönlendiricilere, anahtarlara, DSL modemlere ve yazıcılara da zarar verdi. Solucan bu tür cihazlara yerleĢemese de, aygıtların bozulmalarına veya solucan kendisinin bir kopyasını göndermek istediğinde aygıtların yeniden baĢlamasına (yeniden yükleme gereksinimi duymalarına) sebep oldular.

Sistemleri kurma, yeniden düzeltme maliyetinin 2.6 milyar dolara ulaĢtığı tahmin ediliyor. Tablo 2.1‟de C.A.I.D.A. istatistiklerine göre Code Red saldırısından en çok etkilenen ülkeler, Tablo 2.2‟de ise alan adları görülmektedir.

Tablo 2.2:Code Red saldırısından en çok etkilenen alan adları [14]

2.1.2.3. Code Red II solucanı (4 Ağustos 2001)

Code Red II solucanı Code Red I solucanının her iki versiyonunun da kullandığı IIS açığını kullanıyordu. Ancak Code Red I‟ den tamamen farklı bir koda sahipti. Bu yeni solucanın Code Red II olarak anılması zararlının kaynak kodundan “CodeRedII” Ģeklinde bir katar bulundurmasındandır.

Code Red II yalnızca Windows 2000‟ de çalıĢıyor, Windows NT‟nin ise bozulmasına sebep oluyordu. BaĢka bir bilgisayara enfeksiyon bulaĢtırmaya çalıĢmadan önce Code Red II ilgili bilgisayara önceden solucan bulaĢıp bulaĢmadığına bakıyordu. Eğer sisteme solucan bulaĢmamıĢ ise, yayılım mekanizması çalıĢmaya baĢlıyordu. Enfeksiyon bulaĢan makineye bir arka kapı kuruluyor ve bir gün için hareketsiz kalıyordu. Code Red II, Code Red I‟ den farklı olarak hafızaya yerleĢmiyordu. Bu nedenle sistemi yeniden yüklemek Code Red II‟ den kurtulmak için bir çözüm olmuyordu.

Code Red II bilgisayarda çalıĢmaya baĢladığında bilgisayarı yeniden baĢlatıyor ve yayılmaya baĢlıyordu. Eğer Code Red II tarafından enfeksiyon bulaĢtırılmıĢ bilgisayar Chinese (Taiwanese) veya Chinese (PRC) sistem diline sahipse diğer makinelere enfeksiyon bulaĢtırmak için 600 iĢlem kullanıyordu.

Code Red II yakınlarında bulunan bilgisayarı tercih eden bir seçim stratejisi kullanıyordu. Aynı sınıftaki A sınıfından 1/2 oranında seçim yaparken, aynı sınıftaki B sınıfından 3/8 oranında rastgele tüm internet üzerinden seçimi ise 1/8 oranında gerçekleĢtiriyordu.

Code Red II Code Red‟den çok daha fazla tehlikeliydi çünkü Code Red II enfeksiyon bulaĢmıĢ makinelere uzaktan, kök seviyesinde ulaĢıma izin veren bir mekanizma kuruyordu. Ancak Code Red‟den farklı olarak Code Red II web sayfalarını çökertmiyordu veya DDoS saldırıları gerçekleĢtirmiyordu. Makineler üzerine kurulan arka kapı istenilen kodun yürütülmesini sağlıyordu, böylece makineler gelecek ataklarda (DoS veya baĢka saldırılar) zombiler olarak kullanılabiliyorlardı.

Code Red II ile enfeksiyon bulaĢmıĢ bir bilgisayar yeniden enfeksiyon bulaĢmasının önlenmesi için mutlaka yamalanmalı, daha sonra Code Red II solucanı bilgisayardan temizlenmelidir.

Belgede Ağ güvenliğinde solucan yayılımlarının incelenmesi ve yeni model yaklaşımları (sayfa 31-36)