I. 概要
CERT/CCは、
Microsoft IISサーバに存在する既知の脆弱性(CA-2001-13;
その和訳)
に付け入って、自己流布を行なう悪意あるコードについての報告を受けている。
こうした報告から、既にこのワームが何千台ものシステムに感染したことが
分かる。この新たなワームは"Code Red II"と呼ばれ出しているが、
バッファオーバフローを引き起こすメカニズムは同じであるものの、その他の
点ではCA-2001-19 IISの
インデックスサービスにおけるバッファオーバフローに付け込む"Code
Red"ワーム; その和訳
で記述されたオリジナルの"Code Red"ワームとは別のものである。
"Code Red II"ワームにより、Windows 2000を使っているマシンにおいて、
システムレベルの攻略を受け、バックドアを仕掛けられることになる。
脆弱なWindows NT 4.0システムの場合はIISサービスがクラッシュすること
になる。
II. 記述
"Code Red II"ワームは自己流布を行なう悪意あるコードで、
Microsoft IISサーバに存在する既知の脆弱性(CA-2001-13;
その和訳)
に付け入ろうとする。
攻撃サイクル
"Code Red II"ワームの攻撃は次のように行なわれる。
- "Code Red II"ワームはウェブサーバを見つけようとして任意に
選んだホストのポート80/tcpに接続を試みる。ポート80に接続できると、
攻撃側ホストは犠牲側ホストに偽のHTTP GETリクエストを送信し、CA-2001-13;
その和訳
で記述されたインデックスサービスにおけるバッファオーバフロー問題に
付け入ろうとする。
- このワームが自身を流布させようとするため、この同じ攻撃が任意に
選ばれた各ホストへと送信される。しかし、その結果は、このリクエスト
を受け取ったホストの設定によって変わってくる。
- Windows 2000サーバでIIS 4.0ないし5.0を動作させており、
インデックスサービスがインストールされているもののうち、修正パッチを
未適用のものは"Code Red II"ワーム
に攻略される可能性が高い。
- Windows NTサーバでIIS 4.0ないし5.0を動作させており、
インデックスサーバ2.0がインストールされているもののうち、修正パッチを
未適用のものはIISサーバがクラッシュするであろう。
- 修正パッチを未適用のCisco 600シリーズDSLルータでは、
このHTTPリクエストを処理しようとした結果、別の脆弱性に付け入られる
こととなり、パケットのフォワーディングを停止してしまう。
[http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml]
- 修正パッチを適用済みのシステム、ポート80/tcpを待ち受ける
IIS以外のHTTPサーバを動作させているシステムでは、上記のHTTPリクエスト
を受け、"HTTP 4xx"のエラーメッセージを返し、おそらくアクセスログに
このリクエストがあったことを書き込む。
- 付け入ることに成功すれば、このワームは犠牲となるホスト上で実行し
始める。
被害
システムを攻略すると、このワームは次のような活動に出る。
- まず、このシステムが既に感染しているかどうか確認するため、
CodeRedIIアトムが存在するかどうかを
検証する。もしあれば、そのまま休眠状態になる。なければ、このアトム
を作成し、感染プロセスを続行する。このアトムに関する情報は
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ipc/hh/winbase/atoms_0p83.asp
にある。
- デフォルトのシステム言語をチェックし、自己拡散のためのスレッド
を作りはじめる。デフォルトのシステム言語が"Chinese (Taiwanese)"または
"Chinese (PRC)"であれば、600個のスレッドが生成され、この各スレッドは
48時間の間、新たな感染ホストを探すスキャンを行なう。
それ以外のシステム言語であれば、300個のスレッドが生成され、この各スレッド
は24時間の間、新たな感染ホストを探すスキャンを行なう。
- %SYSTEM%\CMD.EXEを
IISのscriptsフォルダ(訳注:通常はc:\inetpub\scripts)
とMSADCフォルダ(訳注:通常は、
c:\Program Files\Common Files\System\MSADC)の両方にroot.exeというファイル名でコピーする。
パブリックにアクセスできるディレクトリに
CMD.EXEを置くことで、攻略されたマシン上
では、侵入者がIISサーバプロセスに割り当てられた権限(訳注:通常は特権レベル)
で任意のコマンドを実行できるようになる。
- explorer.exeのトロイの木馬を作成し、これを
C:\ と D:\に
コピーする(訳注: d:\が存在しない場合はc:\のみにコピーする)。
このトロイの木馬版explorer.exeは
本物のexplorer.exeを呼び出すこと
でその存在を隠し、C: と D:がネットワークから見えるように仮想
マッピングを作成する。
"Relative Shell Path"の脆弱性(http://www.microsoft.com/technet/security/bulletin/MS00-052.asp)に対する
パッチを適用していないシステム上では、このトロイの木馬である
explorer.exeが、ユーザがログオンするたびに
起動する。このため、このワームによる被害は攻略されたマシンを再起動した
後も続くことになる。
システム上に残る証拠
犠牲となったマシン上では、IISログファイルに次のような文字列が
あるかどうかで"Code Red II"ワームの存在を確認できる。
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0
0%u531b%u53ff%u0078%u0000%u00=a
ログファイルにこの文字列があっても、それが即、攻略された
ということを示しているわけではない。この文字列があった場合、
「"Code Red II"ワームがそのマシンに感染しようとした」という
ことを暗示しているだけである。
このワームは攻略したマシン上にいくつものファイルを作成する。
そのファイルとは、c:\explorer.exe や
d:\explorer.exeのほか、IIS
scriptsフォルダやMSADC
フォルダに置かれるroot.exeである。ただし、root.exeが存在することで
そのマシンが攻略されたことを示していると考えられるが、必ずしもその
攻略は"Code Red II"であるとは限らない。root.exeというファイル名の
ファイルはsadmind/IISワーム (CA-2001-11;
その和訳
を参照せよ)をはじめとする他の付け込み(exploit)が作ったものである可能性
もあるからである。[訳者注記: 原文はused for artifacts of other
exploitsとなっている]
ネットワークフットプリント
"Code Red II"ワームが活動しているホストはさらに感染するホスト
を探して、ランダムにIPアドレスをスキャンして、ポート80/tcpにアクセス
する。"Code Red II"ワームがスキャンするIPアドレスは次のような確率で
決定されている。
- 2分の1の確率でスレッドは最初の1バイトが感染ホストと
同じIPアドレスをランダムにスキャンする。
- 8分の3の確率でスレッドは最初の2バイトが感染ホストと
同じIPアドレスをランダムにスキャンする。
- 8分の1の確率でスレッドはランダムなIPアドレスをスキャン
する。
このワームについてさらに詳細に分析した報告が
eEye Digital Securityによって発行されており、http://www.eeye.comから
入手できる。
III. 影響
"Code Red II"ワームに感染したWindows 2000システム上では、
侵入者がローカルシステムセキュリティコンテクストで
任意のコマンドを実行できることになる。攻略されたシステム
は、ファイルが改竄されたり破壊されたりする可能性がある。
改竄されたり破壊されたりしたファイルに依存するサービスは
DoS(サービス拒否)状態になるであろう。また、攻略されたホスト
は高い確率で他のインターネットサイトを攻撃する仲間入りを
する。
"Code Red II"の広範かつ自動化された攻撃と自己流布のため、
ネットワークの各地で、
特に"Code Red II"が動作している攻略済みホスト群が近くにある場合、
帯域が占有されるためにDoS(サービス拒否)状態に陥るであろう。
Windows NT 4.0システム並びにCisco 600シリーズDSLルータの場合は、
このワームの新たな感染ホストを探す活動の結果、DoS(サービス拒否)状態
となる場合がある。
IV. 解決策
"Code Red II"ワームに感染した場合、システムレベルで攻略された
ことになる。自分の管理下にあるホストが攻略されたと考えられる場合は、
次の文書を参照されたい。
- Steps
for Recovering from a UNIX or NT System Compromise
すべてのネットワークトラフィックを基本的には禁止し、必要なものだけを
選択的に許可するという最善のセキュリティ対策と合わせて、入口フィルタ
リングと出口フィルタリングをネットワーク境界点に用意すべきである。
また、ネットワーク上で使われるすべてのソフトウェアが適正に維持管理
されていると確認できるような体制/技術も用意すべきである。こうした点に
ついてさらに情報が必要な場合は、
CA-2001-23
"Code Red"ワームの脅威続く; その和訳
を参照されたい。
V. 報告求む
CERT/CCはこの活動に関する報告を募集する。自分の管理下にあるマシン
が攻略された場合、タイトル行に[CERT#29209]を含めたメールをcert@cert.org
に送られたし。
著者: Roman Danyliw, Allen Householder, and Marty Lindner
CERT/CC Contact Information
Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
-
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4)
Monday through Friday; they are on call for emergencies during other
hours, on U.S. holidays, and on weekends.
Using encryption
We strongly urge you to encrypt sensitive information sent by
email. Our public PGP key is available from
If you prefer to use DES, please call the CERT hotline for more
information.
Getting security information
CERT publications and other security information are available from
our web site
To subscribe to the CERT mailing list for advisories and bulletins, send email to
* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.
Copyright 2001 Carnegie Mellon University.