코드 레드 (컴퓨터 웜)
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
코드 레드(Code Red)는 2001년에 발견된 컴퓨터 웜으로, 마이크로소프트 IIS 서버의 취약점을 이용하여 확산되었다. 이 웜은 버퍼 오버플로우 공격을 통해 시스템에 침투하여 웹사이트 변조, 다른 IIS 서버 검색, 특정 IP 주소에 대한 서비스 거부 공격 등의 페이로드를 수행했다. 특히, 백악관 웹 서버를 공격 대상에 포함시키기도 했다. 코드 레드 웜과 유사하게 IIS 취약점을 이용하지만 페이로드가 다른 코드 레드 II 웜도 존재한다.
더 읽어볼만한 페이지
- 2001년 컴퓨팅 - 님다
2001년에 발견된 님다는 전자 우편, 네트워크 공유, 감염된 웹사이트, IIS 서버 취약점, 백도어 등 다양한 경로를 통해 빠르게 확산된 강력한 컴퓨터 웜으로, 이메일 읽기만으로도 감염될 수 있고 발신자 주소 위장이 가능하여 피해를 키웠다. - 2001년 컴퓨팅 - 10억 초 문제
10억 초 문제는 `time_t` 형 값이 10자리로 바뀌면서 발생하는 시스템 오류를 지칭하며, 문자열 정렬, COBOL 처리 제한, 32비트 정수 사용 등 다양한 원인과 아리안 5호 로켓 발사 실패, 야후! 서비스 중단 등의 사례를 가진, 미래 시간 문제와 연관된 문제이다. - 웜 - 모리스 웜
모리스 웜은 1988년 로버트 태판 모리스가 개발한 유닉스 시스템 대상의 컴퓨터 웜으로, 시스템 취약점과 비밀번호 취약성을 이용해 확산되었으며, 복제 오류로 시스템 다운을 유발하여 인터넷 보안의 중요성을 일깨웠다. - 웜 - 스턱스넷
스턱스넷은 산업 제어 시스템을 표적으로 설계된 악성 소프트웨어로, 윈도우 제로 데이 공격을 활용하여 확산되었으며 이란의 핵 시설을 공격한 것으로 알려져 있고 국가적 차원의 개발이 추정되며 이스라엘과 미국이 배후로 지목되고 있다. - 2001년 7월 - WWF 인베이전
WWF 인베이전은 2001년 7월 22일 미국에서 열린 프로레슬링 이벤트로, WCW와 ECW 선수들로 구성된 얼라이언스가 WWF에 대항하는 스토리라인을 중심으로 진행되었으며, 팀 WCW/ECW가 팀 WWF를 상대로 승리하고 스톤 콜드 스티브 오스틴이 얼라이언스에 합류하는 반전이 있었다. - 2001년 7월 - 2001년 코파 아메리카
2001년 코파 아메리카는 콜롬비아에서 개최되어 콜롬비아가 멕시코를 꺾고 우승했으며, 아르헨티나와 캐나다의 불참과 코스타리카와 온두라스의 초청 등 변동이 있었다.
코드 레드 (컴퓨터 웜) | |
---|---|
개요 | |
이름 | .ida 코드 레드 웜 |
일반 명칭 | 코드 레드 |
기술 명칭 | CRv 및 CRvII |
종류 | 서버 재밍 웜 |
상세 정보 | |
격리 날짜 | 2001년 7월 15일 |
출처 | 불명 |
제작자 | 불명 |
사용 포트 | 불명 |
운영체제 | 불명 |
파일 크기 | 불명 |
언어 | 불명 |
![]() |
2. 개념
코드 레드 웜은 IIS에 부속되어 배포된 인덱스 서버의 취약점을 이용했다. 이 취약점은 MS01-033에서 설명하고 있으며, 웜 출현 약 1개월 전에 패치가 공개되었다.[6] 이 웜은 버퍼 오버플로우라고 알려진 일반적인 유형의 취약점을 사용하여 자체적으로 전파되었다. 반복되는 문자 'N'의 긴 문자열을 사용하여 버퍼를 오버플로우시켜 웜이 임의의 코드를 실행하고 컴퓨터를 감염시킬 수 있도록 하는 방식으로 이루어졌다. 케네스 D. 아이크만(Kenneth D. Eichman)은 이를 차단하는 방법을 처음 발견했으며, 이 발견으로 백악관에 초청되었다.
2. 1. 작동 원리
웜의 페이로드에는 다음이 포함되었다:[11]- 표시되는 웹사이트의 변조:
:HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- 해당 달의 날에 기반한 다른 활동:
날짜 | 활동 |
---|---|
1-19일 | 인터넷의 더 많은 IIS 서버를 검색함으로써 스스로를 전파한다. |
20–27일 | 여러 고정 IP 주소에 서비스 거부 공격을 수행한다. 백악관 웹 서버의 IP 주소가 이 중에 속해 있다.[10] |
28일~월말 | 수면. 별다른 활동 없음. |
취약한 머신을 스캔할 때 이 웜은 원격 머신이 취약한 버전의 IIS를 사용하는지, 또 전적으로 IIS를 사용하는지도 테스트하지 않았다. 이 시기 아파치 접속 기록은 다음과 같은 항목이 포함되었다:
:GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNN
:%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
:%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
:%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
이 웜의 페이로드는 마지막 N으로 마무리된다. 버퍼 오버플로우 때문에, 취약성이 있는 호스트는 이 문자열을 컴퓨터 명령으로 해석하고 웜을 전파시킨다.
이 웜은 버퍼 오버플로우라고 알려진 일반적인 유형의 취약점을 사용하여 자체적으로 전파되었다. 이는 반복되는 문자 'N'의 긴 문자열을 사용하여 버퍼를 오버플로우시켜 웜이 임의의 코드를 실행하고 컴퓨터를 웜에 감염시킬 수 있도록 하는 방식으로 이루어졌다. 케네스 D. 아이크만(Kenneth D. Eichman)은 이를 차단하는 방법을 처음 발견했으며, 이 발견으로 백악관에 초청되었다.[6]
이 웜은 IIS에 부속되어 배포된 인덱스 서버의 취약점을 이용했다. 이 취약점에 대해서는 MS01-033에서 설명하고 있다. 이에 따르면, 웜 출현 약 1개월 전에 패치가 공개되었다.
2. 2. 웜 페이로드
웜의 페이로드에는 다음이 포함되었다.[11]- 표시되는 웹사이트 변조:
:HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
날짜 | 활동 |
---|---|
1-19일 | 인터넷에서 더 많은 IIS 서버를 검색하여 스스로 전파 |
20–27일 | 여러 고정 IP 주소에 서비스 거부 공격 수행. 백악관 웹 서버의 IP 주소가 이 중에 포함됨. |
28일~월말 | 수면. 별다른 활동 없음. |
2001년 8월 4일, 코드 레드 II가 나타났다. 코드 레드 II는 코드 레드와 감염 방법은 같지만, 페이로드는 완전히 달랐다. 감염된 머신과 같은 서브넷 또는 다른 서브넷의 타겟을 의사 난수적인 수법으로 선택했으며, 자체 서브넷의 타겟을 더 자주 선호했다. 버퍼 오버플로우를 발생시키기 위해 'N' 문자 대신 'X' 문자를 반복했다.[1]
취약한 머신을 스캔할 때 이 웜은 원격 머신이 취약한 버전의 IIS를 사용하는지, 또는 IIS를 사용하는지조차 테스트하지 않았다. 이 시기 아파치 접속 기록에는 다음과 같은 항목이 포함되었다:
:GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
:NNNNNNNNNNNNNNNNNNN
:%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
:%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
:%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
웜의 페이로드는 마지막 N으로 마무리된다. 버퍼 오버플로 때문에, 취약성이 있는 호스트는 이 문자열을 컴퓨터 명령으로 해석하고 웜을 전파시켰다.
3. 유사한 웜
eEye는 이 웜의 발신지가 VBS/Loveletter 웜과 같은 필리핀 마카티라고 추정했다.[1]
3. 1. 코드 레드 II
2001년8월 4일, 코드 레드 II가 나타났다. 코드 레드 II는 코드 레드 웜에서 파생된 것이 '''아니다'''. 감염 방법은 같지만, 페이로드는 완전히 다르다. 감염된 머신과 같은 서브넷 또는 다른 서브넷의 타겟을 어떤 고정된 확률 분포에 따른 의사 난수적인 수법으로 선택하는데, 보통 같은 서브넷 내의 타겟을 선택하는 경우가 많다. 코드 레드에서 'N'을 반복하던 부분(버퍼 오버런을 발생시키는 문자열)은 'X'의 반복으로 되어 있다.
eEye는 웜의 발신지가 필리핀 마카티라고 생각하고 있다(VBS/Loveletter 웜과 같은 발신지이다).
참조
[1]
웹사이트
Enterprise Prevention and Management of Mixed-Threat Attacks
http://www.biz.netvi[...]
[2]
문서
"Code Red" Worm (archived copy from July 22, 2011)
https://web.archive.[...]
eEye Digital Security
2001-07-17
[3]
웹사이트
The Spread of the Code-Red Worm (CRv2)
http://www.caida.org[...]
2006-10-03
[4]
웹사이트
Discoveries – Video – The Spread of the Code Red Worm
https://www.nsf.gov/[...]
[5]
문서
"Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise"
https://web.archive.[...]
Microsoft Corporation
2001-06-18
[6]
웹사이트
Virulent worm calls into doubt our ability to protect the Net
http://news.cnet.com[...]
CNET News
2011-03-14
[7]
웹사이트
CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
http://www.cert.org/[...]
2001-07-17
[8]
웹사이트
The Spread of the Code-Red Worm (CRv2)
http://www.caida.org[...]
2001
[9]
문서
このワームのペイロードは 'N' の羅列の後の文字列である。脆弱なホストはこの文字列を命令列として実行してしまう。
[10]
웹인용
The Spread of the Code-Red Worm (CRv2)
http://www.caida.org[...]
2006-10-03
[11]
웹인용
CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
http://www.cert.org/[...]
2010-06-29
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com