{"id":29122,"date":"2022-08-10T15:34:40","date_gmt":"2022-08-10T13:34:40","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29122"},"modified":"2022-08-10T15:34:40","modified_gmt":"2022-08-10T13:34:40","slug":"history-lessons-code-red","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/history-lessons-code-red\/29122\/","title":{"rendered":"Die Entwicklung der Sicherheit am Beispiel Code Red"},"content":{"rendered":"

Code Red ist ein Computerwurm, der auf Windows-basierte Systeme abzielte, auf denen die Diensteplattform Microsoft IIS (Internet Information Services) installiert war. Immerhin hat die Geschichte von Code Red einen gl\u00fccklichen Anfang, denn die Verbreitung des Schadprogramms wurde gleich zu Beginn des Ausbruchs entdeckt. Bei den Entdeckern<\/a> von Code Red handelte es sich um Forscher von eEye Security, die zum Zeitpunkt der Entdeckung (13. Juli 2001) gerade zuf\u00e4llig ein System zum Aufsp\u00fcren von Schwachstellen in Microsoft IIS entwickelten. Als ihr Testserver aus heiterem Himmel nicht mehr reagierte, folgte eine schlaflose Nacht, in der die Forscher die Systemprotokolle auf der Suche nach den Spuren einer Infektion durchforsteten. Sie benannten die Malware nach dem ersten Objekt, das ihnen ins Auge fiel: eine Dose des Softdrinks Mountain Dew Code Red<\/em>.<\/p>\n

Aber auch die relativ fr\u00fche Entdeckung des Computerwurms konnte die darauffolgende Epidemie kaum noch aufhalten. Die Malware setzte bereits infizierte Systeme f\u00fcr weitere Angriffe ein und verbreitete sich innerhalb weniger Tage weltweit. Sp\u00e4ter stellte das Center for Applied Internet Data Analysis<\/em> (CAIDA) Statistiken f\u00fcr den 19. Juli vor, die die Geschwindigkeit der Verbreitung von Code Red deutlich machten. Verschiedenen Quellen zufolge wurden insgesamt mehr als 300.000 Server angegriffen.<\/p>\n

\"Verbreitung

Verbreitung des Wurms Code Red ab 19. Juli 2001. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

So funktioniert Code Red<\/h2>\n

Der Internet-Wurm nutzte eine triviale Sicherheitsl\u00fccke in einem der Webserver-Module aus, genauer gesagt in einer Erweiterung f\u00fcr die Datenindizierung; missbraucht wurde letztendlich ein Puffer\u00fcberlauf in der idq.dll-Bibliothek. Die Schwachstelle wurde mit der Kennung MS01-33<\/a> versehen. Der Bug l\u00e4sst sich leicht ausnutzen \u2013 man muss dem Server lediglich eine \u00fcberdurchschnittlich lange Anfrage wie die folgende senden:<\/p>\n

GET \/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a\u00a0 HTTP\/1.0<\/p>\n

Infolge einer solchen Anfrage werden die Daten nach der N-Abfolge als Befehl interpretiert und ausgef\u00fchrt. Die gesamte sch\u00e4dliche Nutzlast ist direkt in der Anfrage enthalten, d. h. bei einer anf\u00e4lligen Installation von Microsoft IIS ist eine sofortige Infektion des Systems garantiert. Die im wahrsten Sinne des Wortes offensichtlichste Folge der Infektion war das sogenannte Defacement<\/em> von Webseiten, die von dem Webserver gehostet wurden. Anstelle des \u00fcblichen Inhalts erschien Nutzern folgende Seite:<\/p>\n

So sah die Website eines mit Code Red infizierten Webservers aus. <a href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2001_a-new-generation-of--fileless-network-worm-has-unleashed-global-chaos\" target=\"_blank\">Quelle<\/a>

So sah die Website eines mit Code Red infizierten Webservers aus. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Nach Angaben von Kaspersky<\/a> handelte es sich hierbei nicht um ein permanentes Defacement<\/em>: 10 Stunden nach einem erfolgreichen Angriff stellte der Wurm den normalen Inhalt der Website wieder her. Alle folgenden Aktionen hingen dann vom jeweiligen Datum ab. Vom 1. bis zum 19. eines jeden Monats verbreitete sich der Wurm selbst, indem er b\u00f6sartige Anfragen an zuf\u00e4llige IP-Adressen schickte. Vom 20. bis 27. wurden verschiedene feste IP-Adressen \u00fcber DDoS-Attacken angegriffen, darunter auch die Website des Wei\u00dfen Hauses. Vom 28. bis zum Ende des Monats legte Code Red eine nicht ganz wohlverdiente Pause ein.<\/p>\n

Der Vorfall aus heutiger Sicht<\/h2>\n

\u00c4hnliche Vorf\u00e4lle ereignen sich auch heute noch, stehen aber meist im Zusammenhang mit Zero-Day-Schwachstellen, die im Normalfall bei der Analyse eines aktiven Angriffs entdeckt werden. Ein typisches Beispiel ist eine Reihe von Schwachstellen<\/a> im Mailserver Microsoft Exchange, die zum Zeitpunkt der Entdeckung aktiv ausgenutzt wurden. Mehr als 30.000 Organisationen weltweit waren davon betroffen, und in vielen Unternehmen sahen sich die Administratoren von E-Mail-Diensten gezwungen, einen l\u00e4ngst \u00fcberf\u00e4lligen Notfallpatch zu installieren.<\/p>\n

Dieses Beispiel zeigt nicht nur, dass Angriffe weitaus raffinierter geworden sind, sondern auch, dass sich mit ihnen die Abwehrma\u00dfnahmen weiterentwickelt haben. Code Red nutzte beispielsweise keine Zero-Day-Schwachstelle aus, sondern eine, die bereits einen Monat vor der Epidemie entdeckt und geschlossen worden war. Damals spielten jedoch die Langsamkeit bei der Installation von Updates, das Fehlen von Tools f\u00fcr die automatische Installation und die geringe Sensibilisierung der Unternehmensanwender eine bedeutende Rolle. Ein weiterer wichtiger Unterschied ist die fehlende Monetarisierung. Heutzutage w\u00fcrde auf den Angriff eines anf\u00e4lligen Firmenservers unweigerlich ein Datendiebstahl oder eine Verschl\u00fcsselung mit einhergehender L\u00f6segeldforderung folgen. Auch das Defacement<\/em> gehackter Websites ist heute nicht mehr oberste Priorit\u00e4t f\u00fcr Cyberkriminelle; ganz im Gegenteil. Meist versuchen sie auf Biegen und Brechen, jegliche Spuren in der IT-Infrastruktur des Unternehmens zu verwischen.<\/p>\n

Eine bittere Lehre<\/h2>\n

Eines muss gesagt sein: Code Red verschwand relativ schnell wieder von der Bildfl\u00e4che, auch wenn im August 2001 eine weitere, leicht modifizierte Version des Computerwurms, Code Red II<\/a>, die in der Lage war, Systeme zu infizieren, die bereits von der ersten Variante des Wurms heimgesucht worden waren, erschien. Generell gab es in den fr\u00fchen 2000er-Jahren viele weitere Angriffe, die \u00e4hnliche Szenarien widerspiegelten. Bereits im September 2001 kam es zu der Nimda<\/a>-Wurmepidemie, die ebenfalls lange gepatchte Sicherheitsl\u00fccken in Microsoft IIS ausnutzte. Im Jahr 2003 verbreitete sich der Blaster<\/a>-Wurm fl\u00e4chendeckend. Mittlerweile hat sich aber gl\u00fccklicherweise bereits herumgesprochen, dass Patches f\u00fcr kritische Sicherheitsl\u00fccken in Unternehmenssoftware so schnell wie m\u00f6glich installiert werden m\u00fcssen. Sobald ein solches Update ver\u00f6ffentlicht wird, analysieren Cyberkriminelle dieses sorgf\u00e4ltig und nutzen die Sicherheitsl\u00fccke umgehend aus, in der Hoffnung, dass einige Benutzer sie noch nicht gepatcht haben. Wirft man einen Blick auf neuere Beispiele wie den WannaCry-Angriff aus dem Jahr 2017, kann das Problem aber auch heute noch nicht als gel\u00f6st betrachtet werden.<\/p>\n

Fest steht jedoch, dass Code Red und zahlreiche andere Schadprogramme, die Hunderttausende von Systemen rund um den Globus infizierten, dazu beigetragen haben, die Sicherheitskonzepte f\u00fcr Unternehmen zu pr\u00e4gen. Anders als vor 21 Jahren sind wir heute in allen Bereichen \u2013 von der Kommunikation \u00fcber den Zahlungsverkehr bis hin zu kritischen Infrastrukturen \u2013 vollst\u00e4ndig von IT-Systemen abh\u00e4ngig. Zwar haben wir gelernt, uns vor Cyberangriffen zu sch\u00fctzen, ein Patentrezept f\u00fcr alle Gesch\u00e4ftsprobleme im Cyberspace gibt es jedoch nicht. Mit der unweigerlichen Weiterentwicklung der Cybersicherheit, m\u00fcssen wir akzeptieren, dass perfekte Sicherheit kein Dauerzustand ist, sondern ein st\u00e4ndiger Kampf.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Die Geschichte des ersten ernsthaften Angriffs auf die IT-Infrastrukturen von Unternehmen.<\/p>\n","protected":false},"author":665,"featured_media":29123,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[3978,3976,3977,2578,968,134,734],"class_list":{"0":"post-29122","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-chronicle","11":"tag-computerwurm","12":"tag-defacement","13":"tag-epidemie","14":"tag-geschichte","15":"tag-it-sicherheit","16":"tag-wurmer"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/history-lessons-code-red\/29122\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/history-lessons-code-red\/25146\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/history-lessons-code-red\/27478\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/history-lessons-code-red\/33795\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/history-lessons-code-red\/10909\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/history-lessons-code-red\/45082\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/history-lessons-code-red\/19258\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/history-lessons-code-red\/19826\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/history-lessons-code-red\/25320\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/it-sicherheit\/","name":"IT-Sicherheit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29122"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29122\/revisions"}],"predecessor-version":[{"id":29126,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29122\/revisions\/29126"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29123"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}