കോഡ് റെഡ് വേമുകള്‍ Code Red Worms

 2001 ജൂണ്‍ പതിനെട്ടാം തീയതി eeye എന്ന വെബ് സൈറ്റ് മൈക്രൊസോഫ്റ്റ് ഐ ഐ എസ് സെര്‍വറിലെ ദൌര്‍ബല്യങ്ങള്‍ വെളിപ്പെടുത്തുന്ന ഒരു ലേഖനം അവരുടെ സൈറ്റില്‍ പ്രസിദ്ധീകരിക്കുകയുണ്ടായി. ISAPI (Internet Server Application Program Interface) എന്ന ബഫര്‍ ഫില്‍റ്ററിംഗ് സംവിധാനത്തിലെ ഗുരുതരമായ സുരക്ഷാ പാളിച്ചകളെപറ്റിയുള്ളവാ‍യിരുന്നു ഇവ. ഇതു വഴി സിസ്റ്റത്തിനെ റിമോട്ടായി ആക്രമിക്കുവാന്‍ സാധിക്കും എന്നുള്ളതായിരുന്നു ഈ അര്‍ട്ടിക്കിളിലുണ്ടായിരുന്നത്.

ജൂലൈ 13, രണ്ടായിരത്തി ഒന്നിനാണ് കോഡ് റെഡ് വേമുകള്‍ ആദ്യമായി ഇന്റര്‍നെറ്റില്‍ പ്രത്യക്ഷപ്പെടുന്നത്. മണിക്കുറുകള്‍ കൊണ്ടു ഇവ ഇന്റര്‍നെറ്റിലെ മൈക്രോസോഫ്റ്റ് ഐ ഐ എസ് സെര്‍‌വറുകള്‍ ഉപയോഗിക്കുന്ന വെബ് സെര്‍വറുകളെ വിനാശകരമായ രീതിയില്‍ ബാധിച്ചു. സിസ്റ്റം ക്ലോക്കിലെ ഡേറ്റ് ഒന്നാം തീയതിക്കും പത്തൊമ്പതാം തീയതിക്കും ഇടയിലുള്ളവയാണെങ്കില്‍ ഇവ റാന്‍ഡം ആയി വെബ്സെര്‍വറുകളിലെ ഐ പി റേഞ്ചിലെ അഡ്രസുകള്‍ തനിയെ ജെനറേട് ചെയ്തു അവയുപയോഗിച്ചു മറ്റു വെബ് സെര്‍വറുകളെ ആക്രമിക്കുകയുമായിരുന്നു ചെയ്തത്. (ഇരുപതാം തീയതി ആക്രമണം അവസാനിക്കുന്ന രീതിയിലായിരുന്നു ഈ വേം പ്രോഗ്രാം ചെയ്തിരുന്നതു). ഇവയില്‍ നിന്നും വീണ്ടും ഐപി അഡ്രസുകളെ ലിസ്റ്റ് ചെയ്യുകയും പിന്നീട് അവയുപയോഗിച്ച് കൂടുതല്‍ വെബ് സെര്‍വറുകളെ അധീനതയില്‍ ആക്കുകയും ചെയ്തു. രണ്ടാമത്തെ കോഡ് റെഡ് വേമിന്റെ വകഭേദത്തെ അപേക്ഷിച്ചു ആദ്യത്തെ കോഡ് റെഡ് വേം വളരെകുറഞ്ഞ ഉപദ്രവമായിരുന്നു വെബ്സെര്‍വറുകള്‍ക്കു ഉണ്ടാക്കിയതു്. ഇവ വെബ് സെര്‍വറുകളെ റീബൂട്ട് ചെയ്യുകമാത്രമാണുണ്ടായതു്. എന്നാല്‍ റീബൂട്ട് ചെയ്യപ്പെട്ടതിനു ശേഷവും അവ കോഡ് റെഡ് വേമിനാല്‍ (CRv1) തുടരെ തുടരെ ഇന്‍ഫെക്റ്റ് ചെയ്യപ്പെടുകയുണ്ടായി. വളരെ ഉയര്‍ന്ന തലത്തിലുള്ള അപകടമായിരുന്നു കോഡ് റെഡ് വേമിന്റേതു്.

കോഡ് റെഡ് വേമുകള്‍ ആക്രമിച്ച വെബ്‌ സെര്‍വറുകള്‍ കാണിക്കുന്ന     ഡീഫെയിസ് പേജ്

ഏകദേശംപന്ത്രണ്ടായിരത്തോളം വെബ് സെര്‍വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ ( CRv1) ആക്രമണത്തിനിരയായതു്. GET എന്ന കമാന്റുപയോഗിച്ചു വെബ് സര്‍വറുകളുമായി ഒരു കണക്ഷന്‍ സ്ഥാപിക്കുകയും പിന്നീട് അവയെ ബഫര്‍ ഓവര്‍ഫ്ലോ എന്നറിയപ്പെടുന്ന ആക്രമണം വഴി അധീനതയിലാക്കുകയുമാണ് കോഡ് റെഡ് വേം ചെയ്തതു്. സിസ്റ്റം മെമ്മറിയില്‍ ഇന്‍‌ഫെക്റ്റ് ചെയ്യുന്ന കോഡിംഗ് രീതിയായിരുന്നു കോഡ് റെഡ് വേമില്‍ ( CRv1) ഉപയോഗിച്ചിരുന്നതു്. അതു കൊണ്ട് തന്നെ സിസ്റ്റത്തിന്റെ ഹാര്‍ഡ് ഡിസ്കില്‍ നിന്നും ഇതിന്റെ യാതൊരു ലക്ഷണവും കണ്ടെടുക്കാന്‍ സാധിച്ചിരുന്നില്ല ഒരേ സമയം കോഡ് റെഡിന്റെ തന്നെ ഏകദേശം 100 വേമുകളുടെ പകര്‍പ്പുകള്‍ ഉപയോഗിച്ച് ആക്രമിച്ച ഇവ ആദ്യം സിസ്റ്റം ക്ലോക്കിന്റെ സമയം പിന്നാക്കം മാറ്റുകയും പിന്നീട് അതിന്റെ പ്രവര്‍ത്തനം ആരംഭിക്കുകയും ചെയ്തു. ആദ്യം അധീനതയിലാക്കിയ വെബ് സെര്‍വറുകളിലെ ഐപി അഡ്രസുകള്‍ റാന്‍‌ഡം ആയി ഉപയോഗിച്ചു പോര്‍ട്ട് നമ്പര്‍ 80 വഴി മറ്റു വെബ്സെര്‍വറുകളിലേക്കു എച്ച് റ്റി റ്റി പി ഫ്ലഡ് എന്ന ആക്രമണ രീതിയായിരുന്നു അവലംബിച്ചിരുന്നതു്. ഇംഗ്ലീഷ് ഭാഷയിലുണ്ടായിരുന്ന വെബ് സെര്‍വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ പ്രധാന ലക്ഷ്യം. തുടര്‍ന്ന് ഇവയുപയോഗിച്ച് www.whitehouse.gov എന്ന വെബ്സൈറ്റിനെ ആക്രമിക്കുകയുണ്ടായി. ഒരേ സമയം ഒരു ലക്ഷത്തോളം പാക്കറ്റുകളായിരുന്നു www.whitehouse.gov എന്ന വെബ്സൈറ്റിനു നേരെ കോഡ് റെഡ് വേം 1 പ്രയോഗിച്ചതു്. തുടര്‍ന്നു ഏകദേശം നാലര മണിക്കൂര്‍ നേരം ഈ വേം സ്ലീപ്പിംഗ് മോഡിലാകുകയും വീണ്ടും ആക്രമണം ആരംഭിക്കുകയും ചെയ്തു. നൂറോളം വേമുകള്‍ ഓരോ തവണയും മുകളില്‍ പറഞ്ഞ പാക്കറ്റുകള്‍ ഒരു സിസ്റ്റത്തില്‍ നിന്നു മാത്രം പ്രയോഗിച്ച് അതിനെ റിബൂട്ട് ചെയ്യുകയും തുടര്‍ന്നു www.whitehouse.gov നിന്നുള്ള സര്‍വീസ് തടഞ്ഞു. കൂടാതെ ഈ വെബ്സൈറ്റ് ഡീഫെയിസ് ചെയ്യപ്പെടുകയും ചെയ്തു.

കോഡ് റെഡ് വേമിന്‍റെ സോര്‍സ് കോഡ് ലഭിക്കാന്‍ ഈ വെബ്സൈറ്റ് സന്ദര്‍ശിക്കുകhttp://indianrenegade.blogspot.in/2007/02/code-red-worm-source-code.html

Leave a Reply

Your email address will not be published. Required fields are marked *