23 maja 2001

Worm.Sadmind - atak na Solaris w wykonaniu robaka napisanego w Perl'u

Jest to robak internetowy rozprzestrzeniający się w komputerach Sun Sparc pracujących w systemie operacyjnym Solaris (system dedykowany Sun). Atakuje serwery Microsoft IIS v4 i 5 web. Przejęte serwery Micrsoft IIS jako stronę startową mają rysunek podobny do poniższego :

Twórcą robaka jest człowiek o pro-chińskim światopoglądzie, gdyż "PoizonBOx" jest grupą jednoczącą hakerów atakujących i niszczących chińskie strony w Internecie.

Detale techniczne

Do rozprzestrzeniania się robak wykorzystuje lukę w demonie administratora systemu "/usr/sbin/sadmind". Sun Microsystems uzupełnił tę lukę dwa lata temu, więcej na ten temat:

Robak generuje przypadkowe adresy IP z klasy a, b. Sprawdza wszystkie możliwe kombinacje wygenerowanych adresów: a.b.0.1, a.b.0.2, ...,a.b.253.1, a.b.253.2, ..., a.b.254.254, a.b.254.255. Następnie sprawdza każdy z adresów pod kątem działania usługi "portmap", na porcie 111. Gdy robak odnajdzie system, sprawdza czy działa na nim usługa "sadmind" i jeżeli test przebiegnie pozytywnie bakcyl przejmuje ją. Gdy przejęcie powiedzie się robak otwiera port 600, by dostać się do konta root'a , tworzy plik ".rhosts" w katalogu root'a, zawierający "+ +". Zapis taki niweluje sprawdzanie autentyczności za pomocą rlogin/rsh/etc. Następnie robak kopiuje się do katalogu "/dev/cuc", modyfikuje pliki startowe, tak że bakcyl uruchamiany będzie przy każdym starcie systemu.

Kod robaka na przejętej maszynie tworzy katalog o nazwie "/dev/cub", który będzie wykorzystywany przy operacjach robaka takich jak logowanie, komunikowanie. Robak ściąga kopię Perl 5.005 z chińskiej strony FTP ("bak-px.online.sh.cn"), instaluje go. Robak w znacznej części napisany jest w języku Perl, dlatego ściągnięcie Perl 5.005 umożliwia mu rozprzestrzenianie się i infekowanie kolejnych serwerów IIS poprzez Internet. Mechanizm przejmowania IIS jest dokładnie opisany w Microsoft Security Bulletin 01-023:

Wykorzystując tą lukę robak nadpisuje stronę startową serwera wyżej przedstawioną wiadomością (patrz rysunek).

Po zainfekowaniu serwera 2000 MS IIS robak zamienia wszystkie pliki lokalne "index.html" w systemie Solaris.

Worm.SadMind.b

Wersja "Worm.SadMind.b" robaka jest funkcjonalnie bardzo podobna do wersji .A, z tą różnicą, że niektóre narzędzia wyglądają jakby były rekompilowane.

Worm.SadMind.c

Wersja "Worm.SadMind.c" tym różni się od swoich poprzedników, że plik wykorzystywany przez robaka do nadpisania "index.html" w systemach Solaris jest zmieniony. Przejmowanie serwerów IIS przebiega tak samo jak w przypadku wersji .A i .B.