home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack1 / phrack22.008 < prev    next >
Encoding:
Text File  |  2003-06-11  |  16.1 KB  |  294 lines
  1.                                 ==Phrack Inc.==
  2.  
  3.                       Volume Two, Issue 22, File 8 of 12
  4.  
  5.             "]}`"`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\
  6.             \`\`\                                             \`\`\
  7.             \`\          A Report On The InterNet Worm          \`\
  8.             \`\                                                 \`\
  9.             \`\                   By Bob Page                   \`\
  10.             \`\                                                 \`\
  11.             \`\              University of Lowell               \`\
  12.             \`\           Computer Science Department           \`\
  13.             \`\                                                 \`\
  14.             \`\                November 7, 1988                 \`\
  15.             \`\`\                                             \`\`\
  16.             \`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\`\
  17.  
  18.  
  19. Here's the truth about the "Internet Worm."  Actually it's not a virus -
  20. a virus is a piece of code that adds itself to other programs, including
  21. operating systems.  It cannot run independently, but rather requires that its
  22. "host" program be run to activate it.  As such, it has a clear analog to
  23. biologic viruses -- those viruses are not considered live, but they invade host
  24. cells and take them over, making them produce new viruses.
  25.  
  26. A worm is a program that can run by itself and can propagate a fully working
  27. version of itself to other machines.  As such, what was loosed on the Internet
  28. was clearly a worm.
  29.  
  30. This data was collected through an emergency mailing list set up by Gene
  31. Spafford at Purdue University, for administrators of major Internet sites -
  32. some of the text is included verbatim from that list.
  33.  
  34. The basic object of the worm is to get a shell on another machine so it can
  35. reproduce further.  There are three ways it attacks: sendmail, fingerd, and
  36. rsh/rexec.
  37.  
  38. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  39.  
  40. The Sendmail Attack:
  41.  
  42. In the sendmail attack, the worm opens a TCP connection to another machine's
  43. sendmail (the SMTP port), invokes debug mode, and sends a RCPT TO that requests
  44. its data be piped through a shell.  That data, a shell script (first-stage
  45. bootstrap) creates a temporary second-stage bootstrap file called x$$,l1.c
  46. (where '$$' is the current process ID).  This is a small (40-line) C program.
  47.  
  48. The first-stage bootstrap compiles this program with the local cc and executes
  49. it with arguments giving the Internet hostid/socket/password of where it just
  50. came from.  The second-stage bootstrap (the compiled C program) sucks over two
  51. object files, x$$,vax.o and x$$,sun3.o from the attacking host.  It has an
  52. array for 20 file names (presumably for 20 different machines), but only two
  53. (vax and sun) were compiled in to this code.  It then figures out whether it's
  54. running under BSD or SunOS and links the appropriate file against the C library
  55. to produce an executable program called /usr/tmp/sh - so it looks like the
  56. Bourne shell to anyone who looked there.
  57.  
  58.  
  59. The Fingerd Attack:
  60.  
  61. In the fingerd attack, it tries to infiltrate systems via a bug in fingerd, the
  62. finger daemon.  Apparently this is where most of its success was (not in
  63. sendmail, as was originally reported).  When fingerd is connected to, it reads
  64. its arguments from a pipe, but doesn't limit how much it reads.  If it reads
  65. more than the internal 512-byte buffer allowed, it writes past the end of its
  66. stack.  After the stack is a command to be executed ("/usr/ucb/finger") that
  67. actually does the work.  On a VAX, the worm knew how much further from the
  68. stack it had to clobber to get to this command, which it replaced with the
  69. command "/bin/sh" (the bourne shell).  So instead of the finger command being
  70. executed, a shell was started with no arguments.  Since this is run in the
  71. context of the finger daemon, stdin and stdout are connected to the network
  72. socket, and all the files were sucked over just like the shell that sendmail
  73. provided.
  74.  
  75.  
  76. The Rsh/Rexec Attack:
  77.  
  78. The third way it tried to get into systems was via the .rhosts and
  79. /etc/hosts.equiv files to determine 'trusted' hosts where it might be able to
  80. migrate to.  To use the .rhosts feature, it needed to actually get into
  81. people's accounts - since the worm was not running as root (it was running as
  82. daemon) it had to figure out people's passwords.  To do this, it went through
  83. the /etc/passwd file, trying to guess passwords.  It tried combinations of: the
  84. username, the last, first, last+first, nick names (from the GECOS field), and a
  85. list of special "popular" passwords:
  86.  
  87. aaa             cornelius    guntis      noxious       simon
  88. academia        couscous     hacker      nutrition     simple
  89. aerobics        creation     hamlet      nyquist       singer
  90. airplane        creosote     handily     oceanography  single
  91. albany          cretin       happening   ocelot        smile
  92. albatross       daemon       harmony     olivetti      smiles
  93. albert          dancer       harold      olivia        smooch
  94. alex            daniel       harvey      oracle        smother
  95. alexander       danny        hebrides    orca          snatch
  96. algebra         dave         heinlein    orwell        snoopy
  97. aliases         december     hello       osiris        soap
  98. alphabet        defoe        help        outlaw        socrates
  99. ama             deluge       herbert     oxford        sossina
  100. amorphous       desperate    hiawatha    pacific       sparrows
  101. analog          develop      hibernia    painless      spit
  102. anchor          dieter       honey       pakistan      spring
  103. andromache      digital      horse       pam           springer
  104. animals         discovery    horus       papers        squires
  105. answer          disney       hutchins    password      strangle
  106. anthropogenic   dog          imbroglio   patricia      stratford
  107. anvils          drought      imperial    penguin       stuttgart
  108. anything        duncan       include     peoria        subway
  109. aria            eager        ingres      percolate     success
  110. ariadne         easier       inna        persimmon     summer
  111. arrow           edges        innocuous   persona       super
  112. arthur          edinburgh    irishman    pete          superstage
  113. athena          edwin        isis        peter         support
  114. atmosphere      edwina       japan       philip        supported
  115. aztecs          egghead      jessica     phoenix       surfer
  116. azure           eiderdown    jester      pierre        suzanne
  117. bacchus         eileen       jixian      pizza         swearer
  118. bailey          einstein     johnny      plover        symmetry
  119. banana          elephant     joseph      plymouth      tangerine
  120. bananas         elizabeth    joshua      polynomial    tape
  121. bandit          ellen        judith      pondering     target
  122. banks           emerald      juggle      pork          tarragon
  123. barber          engine       julia       poster        taylor
  124. baritone        engineer     kathleen    praise        telephone
  125. bass            enterprise   kermit      precious      temptation
  126. bassoon         enzyme       kernel      prelude       thailand
  127. batman          ersatz       kirkland    prince        tiger
  128. beater          establish    knight      princeton     toggle
  129. beauty          estate       ladle       protect       tomato
  130. beethoven       euclid       lambda      protozoa      topography
  131. beloved         evelyn       lamination  pumpkin       tortoise
  132. benz            extension    larkin      puneet        toyota
  133. beowulf         fairway      larry       puppet        trails
  134. berkeley        felicia      lazarus     rabbit        trivial
  135. berliner        fender       lebesgue    rachmaninoff  trombone
  136. beryl           fermat       lee         rainbow       tubas
  137. beverly         fidelity     leland      raindrop      tuttle
  138. bicameral       finite       leroy       raleigh       umesh
  139. bob             fishers      lewis       random        unhappy
  140. brenda          flakes       light       rascal        unicorn
  141. brian           float        lisa        really        unknown
  142. bridget         flower       louis       rebecca       urchin
  143. broadway        flowers      lynne       remote        utility
  144. bumbling        foolproof    macintosh   rick          vasant
  145. burgess         football     mack        ripple        vertigo
  146. campanile       foresight    maggot      robotics      vicky
  147. cantor          format       magic       rochester     village
  148. cardinal        forsythe     malcolm     rolex         virginia
  149. carmen          fourier      mark        romano        warren
  150. carolina        fred         markus      ronald        water
  151. caroline        friend       marty       rosebud       weenie
  152. cascades        frighten     marvin      rosemary      whatnot
  153. castle          fun          master      roses         whiting
  154. cat             fungible     maurice     ruben         whitney
  155. cayuga          gabriel      mellon      rules         will
  156. celtics         gardner      merlin      ruth          william
  157. cerulean        garfield     mets        sal           williamsburg
  158. change          gauss        michael     saxon         willie
  159. charles         george       michelle    scamper       winston
  160. charming        gertrude     mike        scheme        wisconsin
  161. charon          ginger       minimum     scott         wizard
  162. chester         glacier      minsky      scotty        wombat
  163. cigar           gnu          moguls      secret        woodwind
  164. classic         golfer       moose       sensor        wormwood
  165. clusters        gorgeous     morley      serenity      yaco
  166. coffee          gorges       mozart      sharks        yang
  167. coke            gosling      nancy       sharon        yellowstone
  168. collins         gouge        napoleon    sheffield     yosemite
  169. commrades       graham       nepenthe    sheldon       zap
  170. computer        gryphon      ness        shiva         zimmerman
  171. condo           guest        network     shivers
  172. cookie          guitar       newton      shuttle
  173. cooper          gumption     next        signature
  174.  
  175.  
  176. When everything else fails, it opens /usr/dict/words and tries every word in
  177. the dictionary.  It is pretty successful in finding passwords, as most people
  178. don't choose them very well.  Once it gets into someone's account, it looks for
  179. a .rhosts file and does an 'rsh' and/or 'rexec' to another host, it sucks over
  180. the necessary files into /usr/tmp and runs /usr/tmp/sh to start all over again.
  181.  
  182. Between these three methods of attack (sendmail, fingerd, .rhosts) it was able
  183. to spread very quickly.
  184.  
  185.  
  186. The Worm Itself:
  187.  
  188. The 'sh' program is the actual worm.  When it starts up it clobbers its argv
  189. array so a 'ps' will not show its name.  It opens all its necessary files, then
  190. unlinks (deletes) them so they can't be found (since it has them open, however,
  191. it can still access the contents).  It then tries to infect as many other hosts
  192. as possible - when it sucessfully connects to one host, it forks a child to
  193. continue the infection while the parent keeps on trying new hosts.
  194.  
  195. One of the things it does before it attacks a host is connect to the telnet
  196. port and immediately close it.  Thus, "telnetd: ttloop: peer died" in
  197. /usr/adm/messages means the worm attempted an attack.
  198.  
  199. The worm's role in life is to reproduce - nothing more.  To do that it needs to
  200. find other hosts.  It does a 'netstat -r -n' to find local routes to other
  201. hosts & networks, looks in /etc/hosts, and uses the yellow pages distributed
  202. hosts file if it's available.  Any time it finds a host, it tries to infect it
  203. through one of the three methods, see above.  Once it finds a local network
  204. (like 129.63.nn.nn for ulowell) it sequentially tries every address in that
  205. range.
  206.  
  207. If the system crashes or is rebooted, most system boot procedures clear /tmp
  208. and /usr/tmp as a matter of course, erasing any evidence.  However, sendmail
  209. log files show mail coming in from user /dev/null for user /bin/sed, which is a
  210. tipoff that the worm entered.
  211.  
  212. Each time the worm is started, there is a 1/15 chance (it calls random()) that
  213. it sends a single byte to ernie.berkeley.edu on some magic port, apparently to
  214. act as some kind of monitoring mechanism.
  215.  
  216.  
  217. The Crackdown:
  218.  
  219. Three main 'swat' teams from Berkeley, MIT and Purdue found copies of the VAX
  220. code (the .o files had all the symbols intact with somewhat meaningful names)
  221. and disassembled it into about 3000 lines of C.  The BSD development team poked
  222. fun at the code, even going so far to point out bugs in the code and supplying
  223. source patches for it!  They have not released the actual source code, however,
  224. and refuse to do so.  That could change - there are a number of people who want
  225. to see the code.
  226.  
  227. Portions of the code appear incomplete, as if the program development was not
  228. yet finished.  For example, it knows the offset needed to break the BSD
  229. fingerd, but doesn't know the correct offset for Sun's fingerd (which causes it
  230. to dump core); it also doesn't erase its tracks as cleverly as it might; and so
  231. on.
  232.  
  233. The worm uses a variable called 'pleasequit' but doesn't correctly initialize
  234. it, so some folks added a module called _worm.o to the C library, which is
  235. produced from:  int pleasequit = -1; the fact that this value is set to -1 will
  236. cause it to exit after one iteration.
  237.  
  238. The close scrutiny of the code also turned up comments on the programmer's
  239. style.  Verbatim from someone at MIT:
  240.  
  241.     From disassembling the code, it looks like the programmer is really
  242.     anally retentive about checking return codes, and, in addition,
  243.     prefers to use array indexing instead of pointers to walk through
  244.     arrays.
  245.  
  246. Anyone who looks at the binary will not see any embedded strings - they are
  247. XOR'ed with 81 (hex).  That's how the shell commands are imbedded.  The
  248. "obvious" passwords are stored with their high bit set.
  249.  
  250. Although it spreads very fast, it is somewhat slowed down by the fact that it
  251. drives the load average up on the machine - this is due to all the encryptions
  252. going on, and the large number of incoming worms from other machines.
  253.  
  254. [Initially, the fastest defense against the worm is is to create a directory
  255. called /usr/tmp/sh.  The script that creates /usr/tmp/sh from one of the .o
  256. files checks to see if /usr/tmp/sh exists, but not to see if it's a directory.
  257. This fix is known as 'the condom'.]
  258.  
  259.  
  260. Now What?
  261.  
  262. Most Internet systems running 4.3BSD or SunOS have installed the necessary
  263. patches to close the holes and have rejoined the Internet.  As you would
  264. expect, there is a renewed interest in system/network security, finding and
  265. plugging holes, and speculation over what will happen to the worm's creator.
  266.  
  267. If you haven't read or watched the news, various log files have named
  268. the responsible person as Robert Morris Jr., a 23-year old doctoral student at
  269. Cornell.  His father is head of the National Computer Security Center, the
  270. NSA's public effort in computer security, and has lectured widely on security
  271. aspects of UNIX.
  272.  
  273. Associates of the student claim the worm was a 'mistake' - that he intended to
  274. unleash it but it was not supposed to move so quickly or spread so much.  His
  275. goal was to have a program 'live' within the Internet.  If the reports that he
  276. intended it to spread slowly are true, then it's possible that the bytes sent
  277. to ernie.berkeley.edu were intended to monitor the spread of the worm.  Some
  278. news reports mentioned that he panicked when, via some "monitoring mechanism"
  279. he saw how fast it had propagated.
  280.  
  281. A source inside DEC reports that although the worm didn't make much progress
  282. there, it was sighted on several machines that wouldn't be on its normal
  283. propagation path, i.e. not gateways and not on the same subnet.  These machines
  284. are not reachable from the outside.  Morris was a summer intern at DEC in '87.
  285. He might have included names or addresses he remembered as targets for
  286. infesting hidden internal networks.  Most of the DEC machines in question
  287. belong to the group he worked in.
  288.  
  289. The final word has not been written...
  290.                                  ...it will be interesting to see what happens.
  291. _______________________________________________________________________________
  292. =========================================================================
  293.  
  294.