주 메뉴 열기

코드 레드 (컴퓨터 웜)

코드 레드(Code Red) 웜은 2001년 7월 13일 처음 관찰된 웜 바이러스로, 마이크로소프트 인터넷 정보 서비스(IIS)의 버퍼 오버플로 취약점을 이용하였다. 또한 감염된 후 20일~27일 동안 잠복한 후, 미국 백악관 홈페이지 등 몇몇 IP에 서비스 거부 공격(DoS)을 하는 루틴도 포함되어 있었다.

웜이 7월 13일 공개되었으나 감염된 최대 컴퓨터 그룹은 2001년 7월 19일 관찰되었다. 이 날, 감염된 호스트의 수는 359,000대에 다다랐다.[1]

개념편집

웜 페이로드편집

웜의 페이로드에는 다음이 포함되었다:

  • 표시되는 웹사이트의 변조:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
  • 해당 달의 날에 기반한 다른 활동:[2]
    • 1-19일: 인터넷의 더 많은 IIS 서버를 검색함으로써 스스로를 전파한다.
    • 20–27일: 여러 고정 IP 주소서비스 거부 공격을 수행한다. 백악관 웹 서버의 IP 주소가 이 중에 속해 있다.[1]
    • 28일~월말: 수면. 별다른 활동 없음.

취약한 머신을 스캔할 때 이 웜은 운격 머신이 취약한 버전의 IIS를 사용하는지, 또 전적으로 IIS를 사용하는지도 테스트하지 않았다. 이 시기 아파치 접속 기록은 다음과 같은 항목이 포함되었다:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

이 웜의 페이로드는 마지막 N으로 마무리된다. 버퍼 오버플로 때문에, 취약성이 있는 호스트는 이 문자열을 컴퓨터 명령으로 해석하고 웜을 전파시킨다.

각주편집

  1. Moore, David; Colleen Shannon (c. 2001). “The Spread of the Code-Red Worm (CRv2)”. 《CAIDA Analysis》. 2006년 10월 3일에 확인함. 
  2. “CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL”. 《CERT/CC》. 2001년 7월 17일. 2010년 6월 29일에 확인함. 

외부 링크편집