Serangan Code Red (Computer Worm)

Worm atau cacing komputer dalam keamanan komputer, adalah sebutan untuk sebuah program yang menyebarkan dirinya di dalam banyak komputer, dengan menggandakan dirinya dalam memori setiap komputer yang terinfeksi. Sebuah worm dapat menggandakan dirinya dalam sebuah sistem komputer sehingga dapat menyebabkan sistem tersebut mengalami crash sehingga mengharuskan server harus di-restart. Beberapa worm juga menghabiskan bandwidth yang tersedia. Worm merupakan evolusi dari virus komputer.

Virus komputer memang dapat menginfeksi berkas-berkas dalam sebuah sistem komputer, tapi worm dapat melakukannya dengan lebih baik. Selain dapat menyebar dalam sebuah sistem, worm juga dapat menyebar ke banyak sistem melalui jaringan yang terhubung dengan sistem yang terinfeksi. Beberapa worm, juga dapat mencakup kode-kode virus yang dapat merusak berkas, mencuri dokumen, e-mail, atau melakukan hal lainnya yang merusak, atau hanya menjadikan sistem terinfeksi tidak berguna.

Salah satu contoh dari worm adalah “Code Red” yaitu Worm yang dapat melakukan eksploitasi terhadap layanan Internet Information Services (IIS) versi 4 dan versi 5, dengan melakukan serangan buffer-overflow. Code Red & Code Red II merupakan virus yang muncul pada musim panas 2001. Virus ini pernah membuat semua computer yang terinfeksi akan mengakses web di White House secara otomatis dan berbarengan, sehingga akan menjadikannya overload.

Code red worm termasuk serangan yang mengeksploitasi buffer overrun di software Web server. Penyerang yang berhasil mengeksplotasi kelemahan Web server ini akan bisa mengambil alih kontrol Web server yang di serangnya. Dengan cara ini, seorang penyerang dapat melakukan banyak hal, seperti mengganti halaman Web, memformat harddisk, menambahkan user baru ke group administrator lokal. Serangan ini hanya bisa terjadi jika ada komponen tertentu yang lemah yang ada di Server tersebut.

1.   Langkah-langkah serangan Code Red Worm

Code Red mencoba untuk terhubung ke port TCP 80 pada host yang dipilih secara acak dengan asumsi bahwa web server akan ditemukan. Setelah koneksi berhasil ke port 80 penyerang akan mengirimkan HTTP GET request kepada korban , mencoba untuk mengeksploitasi buffer overflow dalam Indexing Service dijelaskan dalam CERT di CA - 2001-13.

Pada exploit yang sama ( HTTP GET request ) akan dikirim ke masing-masing host yang dipilih secara acak karena sifat menyebarkan diri dari worm. Namun, tergantung pada konfigurasi host yang menerima permintaan ini , karena adanya variasi konsekuensi.

 IIS 4.0 dan 5.0 server dengan layanan Indexing  diinstall dan hampir bisa dipastikan akan dikompromikan oleh  Code Red Worm.

Tanpa adanya peringatan Cisco 600 -series router DSL akan memproses permintaan HTTP sehingga memicu kerentanan yang menyebabkan router untuk menghentikan paket forwarding.

[ http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml ]

 Sistem tidak running pada IIS, tapi server HTTP yang dilalui port TCP 80 mungkin akan menerima permintaan HTTP, kembali dengan pesan "HTTP 400 Bad Request", dankemungkinan memasukkan log permintaan ini dalam log akses.

Jika eksploitasi ini berhasil, worm akan mulai mengeksekusi host korban. Pada varian awal, host korban dengan bahasa default bahasa Inggris akan mengalami perusakan pada semua halaman yang diminta dari server :

 “HELLO! Welcome to http://www.worm.com! Hacked By Chinese!”

Server dikonfigurasi dengan bahasa yang bukan bahasa Inggris dan mereka yang terinfeksi dengan varian nanti tidak akan mengalami perubahan dalam menampilkan content.   Worm juga akan menyerang system waktu pada komputer,  aktivitas yang berbeda terjadi berdasarkan tanggal ( hari bulan ) dari sistem jam.

Day 1 - 19: inang terinfeksi akan mencoba untuk terhubung ke port TCP 80 alamat IP yang dipilih secara acak untukmenyebarkan worm tersebut.

Hari 20 - 27 : Sebuah penolakan paket - banjir serangan layanan akan diluncurkan terhadap alamat IP tertentu

Hari 28 - akhir bulan : Worm akan " tidur " , tidak ada koneksi aktif atau penolakan layanan.

Sistem jejak. Kegiatan code red worm dapat diidentifikasi pada mesin dengan kehadiran string berikut dalam file log web server :

Kehadiran string ini dalam file log yang belum tentu mengindikasikan kompromi . Melainkan hanya menyiratkan bahwa Code Red berusaha untuk menginfeksi mesin

Selain itu , halaman web pada mesin korban dapat dirusak dengan pesan berikut:

 HELLO ! Selamat Datang di http://www.worm.com ! Hacked By Cina!

Teks halaman ini disimpan secara eksklusif dalam memori dan tidak ditulis ke disk . Oleh karena itu, mencari teks halaman ini dalam sistem file mungkin tidak akan terdeteksi.

Footprint Network. Sebuah host menjalankan sebuah instance aktif dari Code Red akan mengscan alamat IP secara acak pada port 80/tcp mencari host lain untuk menginfeksi.

Analisis rinci tambahan worm ini telah dipublikasikan oleh eEye Digital Security di http://www.eeye.com .

2.   Dampak

Selain situs web mengalami kerusakan, sistem yang terinfeksi dapat mengalami penurunan performa akibat aktivitas pemindaian worm ini. Degradasi ini dapat menjadi sangat parah karena mungkin worm  menginfeksi mesin beberapa kali secara bersamaan

Sistem Non-compromised dan jaringan yang sedang dipindai oleh host lain yang terinfeksi oleh Code Red mungkin mengalami penolakan layanan. Dalam varian sebelumnya, hal ini terjadi karena setiap contoh dari Code Red menggunakan nomor acak generator benih untuk membuat daftar alamat IP scan. Oleh karena itu, semua host yang terinfeksi dengan varian sebelumnya memindai alamat IP yang sama. Perilaku ini tidak ditemukan dalam varian kemudian, tetapi hasil akhirnya adalah sama karena penggunaan teknik pengacakan perbaikan yang memfasilitasi pemindaian lebih produktif.

Selain itu, penting untuk dicatat bahwa sementara  Code Red  tampaknya hanya halaman web deface pada sistem yang terkena dampak dan menyerang sistem lain, IIS pengindeksan ia mengeksploitasi kerentanan dapat digunakan untuk mengeksekusi kode arbitrary pada sistem lokal konteks keamanan. Tingkat hak istimewa efektif memberikan penyerang kontrol penuh dari sistem korban.

3.   Solusi

The CERT / CC mendorong semua situs internet untuk meninjau CERT di CA -2001- 13 dan memastikan workarounds atau patch telah diterapkan pada semua host yang terkena pada jaringan Anda. Jika Anda yakin host di bawah kendali Anda telah dikompromikan, Anda mungkin memilih  langkah untuk melakukan pemulihan (recovert) dari Sistem UNIX atau NT System Compromise

Karena cacing berada sepenuhnya dalam memori, reboot mesin akan membersihkannya dari sistem. Namun, melindungi sistem untuk ketahanan yang mendasarinya tetap penting karena kemungkinan infeksi ulang cukup tinggi disebabkan adanya penyebaran worm.

(Berbagai Sumber)