worms
Code Red era um worm que visava sistemas baseados em Windows com o Microsoft IIS (Internet Information Services for Windows Server) instalado. Sua história tem um começo feliz, pelo menos: a disseminação do malware foi detectada logo no início do surto. Os descobridores do Code Red foram pesquisadores da eEye Security, que no momento da detecção (13 de julho de 2001) estava desenvolvendo um sistema para encontrar vulnerabilidades do Microsoft IIS. De repente, o servidor de teste parou de responder. Isso foi seguido por uma noite sem dormir, que eles passaram examinando os logs do sistema procurando por vestígios de infecção. Eles nomearam o malware em homenagem ao primeiro objeto que chamou sua atenção: uma lata de refrigerante Mountain Dew Code Red.
No entanto, a detecção relativamente precoce não foi capaz de deter a epidemia. O malware usou sistemas já infectados para novos ataques e, em questão de dias, se espalhou pelo mundo. Mais tarde, o Centro de Análise Aplicada de Dados da Internet (Center for Applied Internet Data Analysis -CAIDA) divulgou estatísticas de 19 de julho, que demonstraram claramente a velocidade de distribuição do Code Red. De acordo com várias fontes, mais de 300.000 servidores foram atacados no total.
Propagação do worm Code Red em 19 de julho de 2001. Fonte
Como funciona o Code Red
Este worm da internet explorou uma vulnerabilidade trivial em um dos módulos do servidor web, mais especificamente uma extensão para indexação de dados. Ocorreu um erro de estouro de buffer na biblioteca idq.dll. A vulnerabilidade recebeu o identificador MS01-33. O bug é fácil de explorar — você apenas envia ao servidor uma solicitação excessivamente longa como esta:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Como resultado, os dados após os vários caracteres N são interpretados como instruções e executados. Toda a carga maliciosa está contida diretamente na solicitação; ou seja, dada uma instalação vulnerável do Microsoft IIS, é garantido que o sistema seja infectado instantaneamente. A consequência mais visível da infecção, literalmente, foi o defacement de sites servidos pelo servidor web. Em vez de seu conteúdo usual, o seguinte stub foi exibido:
Como era um site em um servidor da Web infectado pelo Code Red. Fonte
De acordo com a Kaspersky, o defacement não foi permanente: 10 horas após um ataque bem-sucedido, o worm restaurou o conteúdo normal do site. Outras ações a partir daí dependeram da data. De 1º a 19 de cada mês, o worm se propagava, enviando solicitações maliciosas para endereços IP aleatórios. Entre os dias 20 e 27, vários endereços IP fixos sofreram DDoS, inclusive o do site da administração presidencial norte-americana. Do dia 28 até o final do mês, Code Red fez uma pausa não tão merecida.
A visão de 2022
Incidentes semelhantes ainda ocorrem hoje, mas geralmente estão associados a vulnerabilidades zero-day detectadas com mais frequência ao investigar um ataque ativo. Um exemplo típico é uma série de vulnerabilidades no servidor de email do Microsoft Exchange que foi explorada ativamente no momento da detecção. Mais de 30.000 organizações em todo o mundo foram afetadas, e os administradores de serviços de e-mail em muitas empresas se viram precisando instalar um patch “para ontem” e tendo que realizar uma auditoria caso a infecção já tivesse ocorrido.
Este exemplo mostra não apenas que os ataques se tornaram muito mais sofisticados, mas também que as defesas fizeram algum progresso. O Code Red explorou não uma vulnerabilidade zero-day, mas uma que foi detectada e resolvida um mês antes da epidemia. Mas naquela época, a lentidão na instalação de atualizações, a falta de ferramentas para instalação automática e a baixa conscientização dos usuários corporativos tiveram seu papel. Outra diferença importante entre o Code Red e os ataques modernos é a falta de monetização. Hoje em dia, um hack de um servidor de empresa vulnerável seria seguido inevitavelmente por roubo de dados ou criptografia, além de um pedido de resgate. Além disso, os cibercriminosos de hoje raramente fazem defacement de sites invadidos; pelo contrário, é mais provável que tomem todas as medidas possíveis para esconder suas pegadas na infraestrutura de TI da empresa.
Uma lição amarga
O Code Red, é preciso dizer, saiu de cena muito rapidamente. Em agosto de 2001 surgiu uma versão ligeiramente modificada, Code Red II, capaz de infectar sistemas que já haviam sido “visitados” pela primeira variante do worm. De um modo geral, porém, no início dos anos 2000, houve muitos outros ataques com cenários semelhantes. Já em setembro de 2001, vimos a epidemia do worm Nimda, que também aproveitou as vulnerabilidades corrigidas há muito tempo no Microsoft IIS. Em 2003, o worm Blaster se espalhou por toda parte.
Finalmente, foi se compreendendo que os patches para vulnerabilidades críticas em software corporativo devem ser instalados o mais rápido possível: quando uma atualização é lançada, os cibercriminosos a estudam cuidadosamente e começam a explorar a vulnerabilidade imediatamente, esperando que alguns usuários ainda não a tenham corrigido. Mas mesmo agora, não se pode dizer que o problema foi resolvido. Existem exemplos mais recentes, como o ataque WannaCry de 2017.
O que é possível dizer, no entanto, é que o Code Red e vários outros programas maliciosos responsáveis por infectar centenas de milhares de sistemas em todo o mundo ajudaram a moldar as abordagens de segurança corporativa que nos orientam hoje. Ao contrário de 21 anos atrás, agora somos totalmente dependentes de sistemas de TI para tudo, desde comunicações a pagamentos, sem mencionar infraestrutura crítica. Aprendemos a nos defender contra ataques cibernéticos, mas ainda temos que produzir uma bala de prata para todos os problemas de negócios no ciberespaço. À medida que a segurança cibernética evolui inevitavelmente, devemos reconhecer que a segurança perfeita não é um estado fixo das coisas, mas uma luta contínua.
