Re: CodeRed from non-IIS machines???

[Tom Kyle <tom () eos umsl edu>]

The rule is one that I pulled from the snort-users mailing list, and
it's a pretty simple one:

alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Code Red default.ida
attempt"; flags:PA; uricontent:"GET /default.ida?"; nocase;)

What's interesting is that I'm dumping the packet contents to disk and
am seeing the exploit code there, which shouldn't have anything to do
with the rule.

Here's one to aolmail.aol.com

[**] Code Red default.ida attempt [**]
08/06-18:33:02.335541 0:0:0:0:0:0 -> 0:0:0:0:0:0 type:0x0 len:0x600
134.124.xx.xx:2514 -> 205.188.222.249:80 TCP TTL:240 TOS:0x10 ID:0
IpLen:20 DgmL
en:1522
***AP*** Seq: 0x7D7B4E4C  Ack: 0x2FADB72B  Win: 0x25BC  TcpLen: 20
47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61  GET /default.ida
3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  ?NNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63  N%u9090%u6858%uc
62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25  bd3%u7801%u9090%
75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30  u6858%ucbd3%u780
31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63  1%u9090%u6858%uc
62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25  bd3%u7801%u9090%
75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63  u9090%u8190%u00c
33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35  3%u0003%u8b00%u5
33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25  31b%u53ff%u0078%
75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54  u0000%u00=a  HTT
50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74  P/1.0..Content-t
79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F  ype: text/xml.HO
53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A  ST:www.worm.com.
20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E   Accept: */*.Con
74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36  tent-length: 356
...etc etc etc...
5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D  [SS.......cx...M
08 8B 51 10 30 36 64 64 31 34 65 65 38 64 32 31  ..Q.06dd14ee8d21
61 30 38 62 36 61 31 61 34 66 38 63 35 32 36 64  a08b6a1a4f8c526d
36 30 3B 20 4F 66 66 65 72 3D 6E 6D 5F 61 3B 20  60; Offer=nm_a; 
4F 66 66 65 72 45 78 70 3D 54 68 75 25 32 43 25  OfferExp=Thu%2C%
32 30 30 39 25 32 30 41 75 67 25 32 30 32 30 30  2009%20Aug%20200
31 25 32 30 32 33 25 33 41 32 38 25 33 41 33 35  1%2023%3A28%3A35
25 32 30 47 4D 54 0D 0A 0D 0A                    %20GMT....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

and another one to cgi.ebay.com:

[**] Code Red default.ida attempt [**]
08/06-19:44:15.765892 0:0:0:0:0:0 -> 0:0:0:0:0:0 type:0x0 len:0x60C
134.124.abc.def:2151 -> 216.32.120.183:80 TCP TTL:240 TOS:0x10 ID:0
IpLen:20 DgmL
en:1534
***AP*** Seq: 0x5202BCC4  Ack: 0x4FE39DD7  Win: 0x2058  TcpLen: 20
47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61  GET /default.ida
3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  ?NNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63  N%u9090%u6858%uc
62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25  bd3%u7801%u9090%
75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30  u6858%ucbd3%u780
31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63  1%u9090%u6858%uc
62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25  bd3%u7801%u9090%
75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63  u9090%u8190%u00c
33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35  3%u0003%u8b00%u5
33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25  31b%u53ff%u0078%
75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54  u0000%u00=a  HTT
50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74  P/1.0..Content-t
79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F  ype: text/xml.HO
53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A  ST:www.worm.com.
20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E   Accept: */*.Con
74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36  tent-length: 356
...etc.etc...
41 41 42 67 41 41 41 42 73 41 41 41 42 76 4E 32  AABgAAABsAAABvN2
38 37 7A 30 42 76 4F 7A 41 7A 41 4D 33 4E 7A 63  87z0BvOzAzAM3Nzc
33 4E 7A 63 33 4E 7A 63 33 4E 7A 63 33 4E 7A 63  3Nzc3Nzc3Nzc3Nzc
30 2A 6D 3B 20 65 62 61 79 73 69 67 6E 69 6E 3D  0*m; ebaysignin=
69 6E 0D 0A 0D 0A                                in....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

The packet endings are different, and the one to ebay even has a
reference to ebay...hrm...

So either there's a new CodeRed workalike that's not IIS-based (not
good), or Snort is giving me the wrong packet payloads (very bad!),
correct?

Oh, I invoked snort with "snort -Afull -ade -c snort.conf -l /snort"

Tom

> Kevin Brown wrote:
>
> What does the rule look like that is catching this behavior.  It is
> likely the rule needs to be tuned or altered to reduce the potential
> number of false positives.
>
> > I've been learning Snort on the fly attempting to track down
> > CodeRed-infected machines here at my university.
> > Unfortunately, we have
> > many partially-administered IIS servers on the network.
> Fortunately,
> > that number is dropping as a result of CodeRed and CodeRed II.
> >
> > I started seeing some very odd things since getting 1.8.1-beta6 up
> and
> > running on Solaris8 / Ultra5 last night.  What I'm seeing is several
>
> > machines that are NOT Win2k boxes OR running IIS being the sources
> of
> > CodeRed I-style overflows.  All IP's seem to be NT4.0 or 98
> > boxes, some
> > of them locked-down lab workstation.  The destination addresses are
> > rather odd, as well, being rather popular surfing
> > destinations, such as
> > cgi.ebay.com, aolmail.aol.com, www.law8.hotmail.com, and our ISP's
> > akamaitech cache, not random, off-the-wall hits and misses like I
> > expected.
> >
> > I was able to get a peek at one of the machines this morning, and
> did
> > not find anything unusual, although Explorer seemed rather willing
> to
> > segfault rather frequently.  Coming from a UNIX background, I wasn't
>
> > exactly sure where to look for anything nasty, and I was also
> > perplexed
> > as this was a lab machine that are pretty neatly locked down
> (AFAIK).
> > Has anyone else found anything similar?

-- 

Thomas A. Kyle
Network Security Administrator
University of Missouri-St. Louis
tkyle () jinx umsl edu
(314) 516-6012

_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
http://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users