Worm atau cacing komputer dalam
keamanan komputer, adalah sebutan untuk sebuah program yang menyebarkan dirinya
di dalam banyak komputer, dengan menggandakan dirinya dalam memori setiap
komputer yang terinfeksi. Sebuah worm dapat menggandakan dirinya dalam sebuah
sistem komputer sehingga dapat menyebabkan sistem tersebut mengalami crash
sehingga mengharuskan server harus di-restart. Beberapa worm juga menghabiskan
bandwidth yang tersedia. Worm merupakan evolusi dari virus komputer.
Virus komputer memang dapat
menginfeksi berkas-berkas dalam sebuah sistem komputer, tapi worm dapat
melakukannya dengan lebih baik. Selain dapat menyebar dalam sebuah sistem, worm
juga dapat menyebar ke banyak sistem melalui jaringan yang terhubung dengan
sistem yang terinfeksi. Beberapa worm, juga dapat mencakup kode-kode virus yang
dapat merusak berkas, mencuri dokumen, e-mail, atau melakukan hal lainnya yang
merusak, atau hanya menjadikan sistem terinfeksi tidak berguna.
Salah satu contoh dari worm adalah “Code
Red” yaitu Worm yang dapat melakukan eksploitasi terhadap layanan Internet
Information Services (IIS) versi 4 dan versi 5, dengan melakukan serangan
buffer-overflow. Code Red & Code Red II merupakan
virus yang muncul pada musim panas 2001. Virus ini pernah membuat semua
computer yang terinfeksi akan mengakses web di White House secara otomatis dan
berbarengan, sehingga akan menjadikannya overload.
Code red worm
termasuk serangan yang mengeksploitasi buffer overrun di software Web server.
Penyerang yang berhasil mengeksplotasi kelemahan Web server ini akan bisa
mengambil alih kontrol Web server yang di serangnya. Dengan cara ini, seorang
penyerang dapat melakukan banyak hal, seperti mengganti halaman Web, memformat
harddisk, menambahkan user baru ke group administrator lokal. Serangan ini
hanya bisa terjadi jika ada komponen tertentu yang lemah yang ada di Server
tersebut.
1.
Langkah-langkah serangan Code Red Worm
Code Red mencoba untuk terhubung ke port TCP 80 pada host yang dipilih
secara acak dengan asumsi bahwa web server akan ditemukan. Setelah
koneksi berhasil ke port 80 penyerang akan mengirimkan HTTP GET request kepada korban , mencoba
untuk mengeksploitasi buffer overflow dalam Indexing Service dijelaskan dalam
CERT di CA - 2001-13.
Pada exploit yang sama ( HTTP GET request ) akan dikirim ke masing-masing host
yang dipilih secara acak karena sifat menyebarkan diri dari worm. Namun,
tergantung pada konfigurasi host yang menerima permintaan ini ,
karena adanya variasi
konsekuensi.
IIS
4.0 dan 5.0 server dengan layanan Indexing
diinstall dan hampir bisa dipastikan akan dikompromikan oleh Code Red Worm.
Tanpa adanya peringatan Cisco 600 -series router DSL akan memproses permintaan
HTTP sehingga memicu kerentanan yang menyebabkan router untuk menghentikan
paket forwarding.
[ http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml ]
Sistem
tidak running
pada IIS, tapi server HTTP yang
dilalui port TCP 80
mungkin akan menerima permintaan HTTP, kembali dengan
pesan "HTTP 400 Bad Request", dankemungkinan memasukkan log permintaan ini dalam log akses.
Jika eksploitasi ini berhasil, worm akan mulai mengeksekusi host korban. Pada
varian awal, host korban dengan bahasa default bahasa Inggris
akan mengalami perusakan pada
semua halaman yang diminta dari server :
“HELLO!
Welcome to http://www.worm.com! Hacked By Chinese!”
Server dikonfigurasi dengan bahasa yang bukan bahasa Inggris dan mereka yang terinfeksi dengan varian nanti tidak akan mengalami perubahan dalam menampilkan content. Worm juga akan menyerang system waktu pada komputer, aktivitas yang berbeda terjadi berdasarkan tanggal ( hari bulan ) dari sistem jam.
Day 1 - 19: inang terinfeksi akan mencoba untuk terhubung ke port TCP 80
alamat IP yang dipilih secara acak untukmenyebarkan worm tersebut.
Hari 20 - 27 : Sebuah penolakan paket - banjir serangan layanan akan
diluncurkan terhadap alamat IP tertentu
Hari 28 - akhir bulan : Worm akan " tidur " , tidak ada koneksi aktif atau penolakan
layanan.
Sistem jejak. Kegiatan code
red worm dapat
diidentifikasi pada mesin dengan kehadiran string berikut dalam file log web
server :
Kehadiran string ini dalam file log yang belum tentu mengindikasikan
kompromi . Melainkan
hanya menyiratkan bahwa Code Red berusaha untuk menginfeksi mesin
Selain itu , halaman web pada mesin korban dapat dirusak dengan pesan
berikut:
HELLO ! Selamat Datang di http://www.worm.com !
Hacked By Cina!
Teks halaman ini disimpan secara eksklusif dalam memori dan tidak ditulis
ke disk . Oleh
karena itu, mencari teks halaman ini dalam sistem file mungkin tidak akan
terdeteksi.
Footprint Network. Sebuah host menjalankan sebuah instance aktif dari Code
Red akan
mengscan alamat IP secara acak
pada port 80/tcp mencari host lain untuk menginfeksi.
Analisis rinci tambahan worm ini telah dipublikasikan oleh eEye Digital
Security di http://www.eeye.com .
2.
Dampak
Selain situs web mengalami kerusakan, sistem yang terinfeksi dapat mengalami penurunan
performa akibat aktivitas pemindaian worm ini. Degradasi
ini dapat menjadi sangat parah karena mungkin worm menginfeksi mesin
beberapa kali secara bersamaan
Sistem Non-compromised dan jaringan yang sedang dipindai oleh host lain
yang terinfeksi oleh Code Red mungkin mengalami penolakan layanan. Dalam
varian sebelumnya, hal ini terjadi karena setiap contoh dari Code Red menggunakan
nomor acak generator benih untuk membuat daftar alamat IP scan. Oleh
karena itu, semua host yang terinfeksi dengan varian sebelumnya memindai alamat
IP yang sama. Perilaku
ini tidak ditemukan dalam varian kemudian, tetapi hasil akhirnya adalah sama
karena penggunaan teknik pengacakan perbaikan yang memfasilitasi pemindaian
lebih produktif.
Selain itu,
penting untuk dicatat bahwa sementara Code Red tampaknya hanya halaman web deface pada sistem
yang terkena dampak dan menyerang sistem lain, IIS pengindeksan ia
mengeksploitasi kerentanan dapat digunakan untuk mengeksekusi kode arbitrary
pada sistem lokal konteks keamanan. Tingkat
hak istimewa efektif memberikan penyerang kontrol penuh dari sistem korban.
3.
Solusi
The CERT / CC mendorong semua situs internet untuk meninjau CERT di CA -2001- 13 dan memastikan workarounds atau patch telah
diterapkan pada semua host yang terkena pada jaringan Anda.
Jika Anda yakin host di bawah kendali Anda telah
dikompromikan, Anda mungkin memilih langkah
untuk melakukan pemulihan
(recovert) dari Sistem UNIX
atau NT System Compromise
Karena cacing berada sepenuhnya dalam memori, reboot mesin akan
membersihkannya dari sistem. Namun,
melindungi sistem untuk ketahanan yang mendasarinya tetap penting karena kemungkinan
infeksi ulang cukup tinggi disebabkan adanya penyebaran worm.
(Berbagai Sumber)
Tidak ada komentar:
Posting Komentar