Linux.Slapper 웜
[바이러스 긴급경보 CERTCC-KR-VA-2002-065]
☆ 개요
OpenSSL 버퍼 오버플로우 취약점을 이용한 apache웜이 2002년 9월 13일 외국에서 발견되었다. 9월 14일
현재까지 국내에서의 피해는 아직 발견되지 않고 있으나, 많은 수의 웹서버가 apache 웹서버를 사용하고 있으므로 관리자들의 신속한 대응이
필요할 것으로 보인다.
Linux.Slapper.Worm은 원격 시스템상의 쉘을 실행시키기 위해 OpenSSL 버퍼 오버플로우 취약점을 사용한다. Suse, Mandrake, RedHat, Slackware및 Debian을 포함하는 리눅스상에서 실행되는 취약한 아파치 웹서버를 타겟으로 하고 있으며, 또한 분산 서비스 거부공격을 위한 코드도 포함하고 있다.
☆ 전파원리 및 피해증상
□ 전파방법 및 피해증상
다음과 같은 감염대상과 유포양식을 지니고 전파된다.
감염대상 : 각종 리눅스 시스템상의 취약한 아파치 웹 서버
포트 : 80, 443
포트 80번에 연결을 시도하고 아파치 시스템을 확인하는 서버에게 부적절한 GET request를 보낸다. 원격 시스템상의 SSL 서비스에 익스플로잇 코드를 보내기 위해 아파치 시스템을 발견하면 포트 443 번에 연결을 시도한다.
이 웜은 인텔 플렛폼상에서만 실행되는 코드를 가지고 있으며, 이 코드는 실행되기 위해 /bin/sh을 필요로 한다. 이 코드의 이름은 ."bugtraq.c"으로 되어있어 ls로 확인시 "-a" 옵션을 통해서만 확인이 가능하며, gcc를 사용해 컴파일된후 /tmp 디렉토리내에 ".bugtraq"이란 이름으로 위치하게 된다.
또한 웜은 IP 어드레스를 파라미터값으로 참조하여 실행되는데, 이 IP 어드레스는 공격할 머신의 IP주소이고 서비스 거부 공격을 목적으로 웜에 감염된 시스템 네트워크를 만들기 위해 사용된다. 각 시스템은 명령을 받기 위해 UDP 포트 2002번을 listen상태로 만든다.
아파치 시스템을 랜덤하게 스캐닝함으로써 이 웜은 새로운 아파치 시스템을 스캔하기 위해 아래의 IP set을 사용한다.
3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239
☆ 대응방법
□ 예방법
1. 해당제품의 벤더로부터의 패치를 적용한다.
2. OpenSSL 버전 0.9.6e을 아래의 URL에서 다운로드한 후 업그레이드 한다.
URL : http://www.openssl.org/source/
1 또는 2에서 패치를 적용하거나 업그레이드한 후 OpenSSL를 사용하는 모든 어플리케이션을 재컴파일한 후 시스템을 실행시킨다.
☆ 참고 사이트
□ CERTCC-KR 권고문
- http://www.certcc.or.kr/advisory/ka2002/ka2002-074.txt
□
Symantec
Linux.Slapper.Worm
- http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.wo...
관련 링크: http://www.certcc.or.kr/cvirc/Alert/warning/2002/Linux%20Slapper%20worm.htm
'Security' 카테고리의 다른 글
Apache 의 chroot 운영 및 Jail System (6) | 2002.10.22 |
---|---|
Trojan Horse가 내포된 Sendmail 배포 (0) | 2002.10.10 |
sendmail 도움말 숨기기(?) (0) | 2002.09.02 |
LKM 루트킷 탐지 (0) | 2002.08.16 |
트로이목마를 내포한 OpenSSH패키지 배포 (0) | 2002.08.03 |