코드 레드(컴퓨터 웜)

.ida 코드 레드 웜
	웜에 의해 훼손된 웹사이트.
통칭	코드 레드
기술명	CRV 및 CRVII
유형	서버 방해 웜
격리	2001년 7월 15일

Code Red는 2001년 7월 15일 인터넷에서 발견된 컴퓨터 웜입니다.마이크로소프트의 IIS 웹 서버를 실행하는 컴퓨터를 공격했습니다.엔터프라이즈 ^[1]네트워크를 성공적으로 대상으로 한 최초의 대규모 혼합 위협 공격입니다.

Code Red 웜은 Riley Hassell이 발견한 취약성을 이용하여 eEye Digital Security 직원 Marc Maifret과 Ryan Permeh에 의해 처음 발견되고 연구되었습니다.그들은 그것을 "코드 레드"라고 이름 붙였어요. 왜냐하면 마운틴 듀 코드 레드가 그 ^[2]당시 그들이 마시고 있던 것이었으니까요.

이 웜은 7월 13일에 방출되었지만, 2001년 7월 19일에 가장 많은 수의 감염된 컴퓨터가 발견되었다.이날 감염된 호스트 수는 35만9000명에 ^[3]달했다.

개념.

취약성 부정 이용된

이 웜은 Microsoft Security Bulletin MS01-033에 ^[4]설명되어 있는 IIS와 함께 배포되는 소프트웨어의 취약성을 나타냈습니다.이러한 소프트웨어는 1개월 전에 패치를 사용할 수 있었습니다.

이 웜은 버퍼 오버플로라고 불리는 일반적인 유형의 취약성을 사용하여 확산되었습니다.이는 반복된 문자 'N'의 긴 문자열을 사용하여 버퍼를 오버플로함으로써 웜이 임의의 코드를 실행하고 웜에 감염된 머신을 가능하게 합니다.케네스 D.아이히만은 그것을 막는 방법을 발견한 첫 번째 사람이었고 그의 ^[5]발견을 위해 백악관으로 초대되었다.

'마운틴 듀 코드 레드' 병인데, 그 이름을 따서 지렁이라는 이름이 붙었습니다.

웜 페이로드

웜의 payload에는 다음이 포함됩니다.

표시하도록 영향을 받는 웹 사이트를 비활성화합니다.

안녕하세요! http://www.worm.com에 오신 것을 환영합니다!중국인에 의해 해킹당했습니다!

월별 ^[6]기타 액티비티:
- 1~19일째:인터넷에서 더 많은 IIS 서버를 찾아 확산하려고 합니다.
- 20~27일째: 여러 고정 IP 주소에 대해 서비스 거부 공격을 시작합니다.백악관 웹서버의 IP주소도 그 ^[3]중 하나였다.
- 월말 28일째: 수면, 공격 없음.

취약한 머신을 스캔할 때 웜은 리모트머신에서 실행되고 있는 서버가 취약한 버전의 IIS를 실행하고 있는지, 또는 IIS를 실행하고 있는지 여부를 테스트하지 않았습니다.이 시점부터 Apache 액세스 로그에는 다음과 같은 항목이 자주 있습니다.

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u0000%u00=a HTTP/1.0

웜의 payload는 마지막 'N' 뒤에 오는 문자열입니다.버퍼 오버플로로 인해 취약한 호스트는 이 문자열을 컴퓨터 명령으로 해석하여 웜을 전파합니다.

유사 웜

2001년 8월 4일, Code Red II가 등장했습니다.같은 주입 벡터를 사용했지만 페이로드가 전혀 달랐다.고정된 확률 분포에 따라 감염된 머신과 같거나 다른 서브넷 상의 타깃을 의사적으로 선택하여 자신의 서브넷 상의 타깃을 선호합니다.또한 버퍼 오버플로우에는 'N'자 대신 'X'자를 반복하는 패턴을 사용했습니다.

eEye는 이 웜이 VBS/Loveletter(일명 "ILOVEYOU") 웜과 같은 필리핀 마카티에서 발생했다고 믿고 있습니다.

「」를 참조해 주세요.

레퍼런스

^ Trend Micro. "Enterprise Prevention and Management of Mixed-Threat Attacks" (PDF).
^ 분석: .ida "Code Red" Worm (2011년 7월 22일 아카이브 완료), Code Red 어드바이저리, eEye Digital Security, 2001년 7월 17일
^ ^a ^b Moore, David; Colleen Shannon (c. 2001). "The Spread of the Code-Red Worm (CRv2)". CAIDA Analysis. Retrieved 2006-10-03.
^ MS01-033 "Microsoft Security Bulletin MS01-033: Index Server ISAPI Extension의 체크되지 않은 버퍼로 인해 웹 서버가 손상될 수 있음", Microsoft Corporation, 2001년 6월 18일
^ Lemos, Rob. "Virulent worm calls into doubt our ability to protect the Net". Tracking Code Red. CNET News. Archived from the original on June 17, 2011. Retrieved 14 March 2011.
^ "CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL". CERT/CC. 17 July 2001. Retrieved 2010-06-29.

외부 링크

Code Red II 분석, Steve Friedl의 Unixwiz.net, 최종 갱신 2001년 8월 22일
샌디에이고 슈퍼컴퓨터센터(SDSC)의 인터넷 데이터 분석을 위한 협동조합(CAIDA) 코드 레드 분석, 2008년 11월 갱신
2001년 7월 19일 Jeff Brown, UCSD 및 David Moore, CAIDA, SDSC에 의한 Code Red 웜의 확산을 보여주는 애니메이션

[TrendMicro-1] Trend Micro. "Enterprise Prevention and Management of Mixed-Threat Attacks" (PDF).

[2] 분석: .ida "Code Red" Worm (2011년 7월 22일 아카이브 완료), Code Red 어드바이저리, eEye Digital Security, 2001년 7월 17일

[caida-3] Moore, David; Colleen Shannon (c. 2001). "The Spread of the Code-Red Worm (CRv2)". CAIDA Analysis. Retrieved 2006-10-03.

[4] MS01-033 "Microsoft Security Bulletin MS01-033: Index Server ISAPI Extension의 체크되지 않은 버퍼로 인해 웹 서버가 손상될 수 있음", Microsoft Corporation, 2001년 6월 18일

[5] Lemos, Rob. "Virulent worm calls into doubt our ability to protect the Net". Tracking Code Red. CNET News. Archived from the original on June 17, 2011. Retrieved 14 March 2011.

[6] "CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL". CERT/CC. 17 July 2001. Retrieved 2010-06-29.

[1]

[2]

[3]

[4]

[5]

[6]

Search

코드 레드(컴퓨터 웜)

네임스페이스

더

목차

개념.

취약성 부정 이용된

웜 페이로드

유사 웜

「」를 참조해 주세요.

레퍼런스

외부 링크

Search

코드 레드(컴퓨터 웜)

개념.

취약성 부정 이용된

웜 페이로드

유사 웜

「 」를 참조해 주세요.

레퍼런스

외부 링크

「」를 참조해 주세요.