كود رد عبارة عن دودة حاسوب تم ملاحظتها على شبكة الإنترنت في الثالث عشر من يوليو 2001 حيث هاجمت أجهزة كمبيوتر تقوم بإدارة جهاز الخادم ويب آي آي اس التابع لشركة مايكروسوفت. اُكتشفت دودة رد لأول مرة على أيدي موظفي خدمة الأمن الرقمي أي آي مارك ميفرت وريان بيرميه وقاما بعمل أبحاث عنها. وأطلقا على هذه الدودة اسم "كود رد" لأنهما كانوا يتناولان شراب اسمه كود رد ماونتن ديو في ذلك الوقت، وبسبب عبارة "اختطفه الصينيون!" التي تكتبها الدودة على مواقع الويب التي تخترقها[1]. على الرغم من إطلاق هذه الدودة في الثالث عشر من يوليو إلا أن المجموعة الأكبر من أجهزة الكمبيوتر المخترقة ظهرت في التاسع عشر من يوليو. إذ وصل عدد الأجهزة المضيفة المخترقة في هذا اليوم إلى 359.000.[2]
كيف تعمل
استغلت مواطن الضعف
استغلت الدودة موطن ضعف أو عيبا في برمجيات الفهرسة الموزعة مع برنامج آي آي اس الموصوف في ام اس 01-033 (MS01-033) والذي تتوفر له رقعة منذ شهر. نشرت الدودة نفسها باستخدام نوع مشهور من العيوب المعروف باسم فيض الدارئ (Buffer Overflow). وفعلت ذلك من خلال استخدام سلسلة طويلة من حرف “N” المكرر لتدفق عازل حيث يسمح للدودة بتنفيذ كود تحكمي وإصابة الجهاز. وكان كينيث دي ايتشمان هو أول من اكتشف طريقة وقفها وقد دعاه البيت الأبيض لزيارته لهذا السبب[3].
حمولة الدودة
حمولة الدودة تشمل ما يلي:
- تشويه موقع الويب المتأثر ليعرض الجملة الآتية:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese! (وآخر جملة تصبح "ميمي" meme للإشارة إلى هزيمة أونلاين)
- أنشطة أخرى تعتمد على كل يوم من أيام الشهر [4]
- الأيام من 1 – 19 تحاول الدودة فيها نشر نفسها من خلال البحث عن مزيد من أجهزة خوادم آي آي اس على شبكة الإنترنت.
- الأيام 20 – 27: تشن الدودة هجمات رفض الخدمة على العديد من عناوين آي بي الثابتة. وقد كان عنوان آي بي الخاص بخادم الويب للبيت الأبيض من بين هذه العناوين.[2]
- من يوم 28 إلى نهاية الشهر: تنام الدودة أي لا تطلق أي هجمات فعالة.
عندما تقوم الدودة بمسح الأجهزة المعرضة للهجوم لا تهتم الدودة بما إذا كان جهاز الخادم الذي يعمل على جهاز بعيد يعمل بنسخة آي آي اس عُرضة للهجوم أو حتى الاهتمام بما إذا كان يشغل نسخة آي آي اس أم لا على الإطلاق. ويكون لدخول أباتشي Apache من هذا الوقت مداخل متكررة مثل:
- GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNN
- %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
- %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
- %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
وحمولة الدودة هي السلسلة التي تتبع آخر حرف “N”، حيث يترجم الجهاز الضعيف هذه السلسلة كتعلميات من الكمبيوتر.
ديدان مشابهة
في الرابع من أغسطس 2001 ظهرت كود رد 2، وهي عبارة عن شكل آخر من دودة كود رد الأصلية. وعلى الرغم من أنها تستخدم نفس اسم انجيكشن فيكتوري injection vectori إلا أن لها حمولة مختلفة تماما. إذ أنها تستهدف بصورة عشوائية زائفة أهدافا على نفس الشبكات الفرعية أو شبكات فرعية مختلفة كأجهزة مخترقة وفق توزيع ثابت تماما، وأهداف مرجوة على شبكتها الفرعية الخاصة في أكثر الأحيان. بالإضافة إلى أنها تستخدم نسق تكرار حروف “x” بدلا من حروف “N” لتدفق الحاجز. تعتقد أي آي eEye أن الدودة نشأت في مدينة ماكاتي في الفلبين (نفس أصل VBS/Loveletter (المعروفة أيضا باسم دودة "ILOVEYOU worm))
مقالات ذات صلة
المراجع
- ANALYSIS:.ida "Code Red" Worm, Section Technical Details, Introduction نسخة محفوظة 20 يونيو 2009 على موقع واي باك مشين.
- Moore, David (2001?). "The Spread of the Code-Red Worm (CRv2)". CAIDA Analysis. مؤرشف من الأصل في 13 مايو 201903 أكتوبر 2006.
- Lemos, Rob. "Virulent worm calls into doubt our ability to protect the Net". Tracking Code Red. CNET News. مؤرشف من الأصل في 04 مارس 201414 مارس 2011.
- "CERT Advisory CA-2001-19". CERT/CC. 2001. مؤرشف من الأصل في 09 ديسمبر 201329 يونيو 2010.