Vulnerabilities
야후 웹메일 취약점
IE 6.0 DoS 취약점
[HL2003-124]Microsoft Messenger 서비스 버퍼오버플로우 취약점
[HL2003-122]HP HP-UX dtprintinfo DISPLAY 환경변수 버퍼오버플로우 취약점
[HL2003-121]Sun Solaris aspppls의 임시화일 생성오류
Section Stories
머피의 법칙 그 유래를 찾아서 4부작 2편
지구상에서 가장 빠른 사나이(2편) 우리가 이제껏 알고 있는 머피에 법칙에 관한 모든 것은 잘못된 것이다. ...
얼음렌즈로 불 붙이기
호수나 샘에서 깨끗한 물을 퍼 온다. 물 속 가스가 제거되도록 약 10 분 간 끓인다. 그런 뒤 은박지 호일을 접어 약 5cm 정도 깊이의 접시를 만들어 물을 담고 천천히 얼린다. 아니면, 판매하 ...
머피의 법칙, 그 유래를 찾아서 4부작 1편
"세상에 어떻게 이럴 수가... 나는 도대체 되는 일이 하나 없는지..." 머피의 법칙이 뭔지는 알면서도 막상 그 유래에 관해서는 여러가지 설이 분분합니다. 희귀한 연구 결과를 주로 싣는 핫에어 사이트에 "머피의 ...
[2003/01/28] [Loveyou] 최근 인터넷 대란은 어떻게?
1. 웜바이러스

요즘 인터넷 대란이다 뭐다 해서 떠들썩한 것 같습니다.
사실 예전에도 이런 일은 많았습니다. 단지 서버들을 죽인다거나(cpu 100%) 다른 서버들에 대해서 엄청난 속도로 스캐닝을 한다거나 ...  

이런 웜 바이러스의 특징은 리모트 취약점을 이용하는 것입니다.
그동안 유명했던 웜 바이러스를 보면 IIS 웹 서버의 취약점, DNS취약점, SSH데몬 취약점, SnmpXdmid 취약점, apache 웹 서버 취약점 등등.. 많이 존재했습니다.

2. MS를 적극 공략한 웜바이러스만이 성공한다??

우리가 여기서 생각해봐야 할 유명한 웜 바이러스는 모두 MS제품을 공격한 것들 뿐입니다.  님다,코드레드와 같이 전세계적으로 크게 확산되고 유명해진 웜바이러스가 드물죠. 이번에는 SQL_Hell 이라는 MSSQL서버를 heap based buffer Overflow 시키는 dnja 바이러스(SQL_Hell)가 유명해지고 있는 상태입니다. 사실 이 취약점에 대한 공격소스는 2002년도 8월에 공개되었던 것입니다.

이런 오래된 취약점을 공격하는 웜 바이러스를 유포한 걸로 보아 MS를 싫어하는 사람들이 많긴 많나봅니다. ^^*
이번에 웜 바이스러스가 크게 확산된 이유중 하나는 MS의 보안상 취약점에 대한 대처가 늦기 때문입니다. 임시 패치가 아닌 정식 패치를 MS에서 받아야 하기 때문에 언제나 보안상 취약점에 노출되어있는게 단점입니다.
이럴때 가장 눈에 띄는게 리눅스겠죠? 보안상 취약점이 발표되면 10분안에 전세계의 전문가들에 의해 패치가 완성됩니다. 부러워라...

3. 인터넷 대란을 일으킨 SQL_Hell 웜 바이러스

이번에 유포된 SQL_Hell이라는 웜 바이러스에 대해서 알아봅시다.
MSSQL Server 2000(SP2이하)의 Resolution 서비스 포트인 1434/UDP(TCP의 경우 1433)번 포트를 직접 공격하여 서버 내부에 접근합니다.
그 후 서버의 cpu를 100% 잡아먹으면서까지 다른 네트워크를 스캐닝합니다.
취약한 서버를 발견하면 또 서버 내부에 접근하여 다른 서버를 스캐닝하고.... 무한대..
이런 웜 바이러스가 여러대의 서버에서 활동하고 있게된다면 점점 네트워크 트래픽이 증가하게 되고, 결국 인터넷이 마비될정도로 규모가 커집니다.

4. 웜 바이러스를 유포한 사람은?

이건 어디까지나 제 추측이지만, 최근 홍커라불리며 조금씩 세상에 알려지는 신진세력이 있습니다. ?focus, ??honker, ??focus와 같은 몇몇 홍커들의 홈페이지를 보면 알 수 있습니다.(참고로 ?로 표기한것은 홈페이지 주소를 유추할 수 있기 때문에..) 그들의 공격 기술은 엄청나게 진보되고 있으며 세력또한 점점 불어나고 있는 추세입니다. 이미 MSSQL서버에 대한 공격소스가 공개되었음에도 불구하고, 자체적으로 좀더 발전시킨 공격소스를 발표하기도 했으며 2003년 1월 27일 현재 MSSQL공격 소스를 좀더 수정하는등.. 의문이 되는 부분이 발견되고 있습니다.
참고 게시판 그림(클릭)

5. 인터넷 대란까지 확산되어야 하나?
네트워크를 스캐닝하는 과정에서 inverse domain query가 증가하기 때문에 DNS서버가 정상작동을 할 수 없는 경우도 생깁니다.
또한 MSSQL서버의 경우 DB서버이기 때문에 관련된 홈페이지의 경우 데이터를 가져올 수 없는 현상으로 로그인,게시판 사용 등이 제한되었습니다.
웜 바이러스의 네트워크 스캐닝으로 인해 네트워크 장비들이 제기능을 하지 못한것도 이유중 하나입니다.

6. 결론

이전에도 이미 님다나 코드레드 같은 웜 바이러스의 피해를 입었을때에도 MS의 IIS서버 패치를 이용하여 해결했습니다. 하지만 시간이 지난 지금 같은 현상이 벌어지고 있습니다.
우린 이런 현상을 단순히 서버의 패치로인해 해결할 수 있다고 생각하는게 문제입니다.

이번 인터넷 대란을 일으킨 주범은 웜 바이러스 유포자가 아닙니다. 서버 관리를 소홀히 하는 관리자들에게 일차적인 책임이 있겠죠. 문제가 발생했을때 해결하는 식의 관리는 사라져야 합니다.
이차적인 문제점은 이런 일을 할 수 있는 관리자가 회사에 거의 없다는게 현실입니다. 관리자 한사람이 수십,수백대의 서버를 관리한다면 문제는 심각해집니다. 경영진쪽에서는 이런 현실을 감안하여 서버 관리자 인원을 확충해야 합니다.

예전이나 오늘이나 바뀐게 없는 인터넷 보안 시장을 보며 안타깝습니다. 이번일을 마지막으로 인터넷 대란이라는 신문기사가 나오질 않길 바라며 긴글을 마침니다. 휘리릭..

[43] [42] [39] [38] [37] [36] [35] [34] [33] [32] [31]
F.H.Z Server 접속자
2014/12/28 12:45 AM
DRILL 23명 / IRC 6명
Errata
BBUWOO


시작하는 모든 사람들을 위한 필독서 "질문은 어떻게 하는것이 좋은가"로 "시원한데 긁어줬다", 혹은 "너 잘났다"는 등의 극에서 극을 달리는 반응으로 리눅스계에 일대 센세이션을 일으켰던 장본인, OOPS.ORG를 통해 약 1만 8천...
Book Review
Spidering Hacks


[Anonymous님 曰] 서핑만으로는 부족하다고 느껴질 때가 있는 법이다. 좋아하는 책이 판매순위 몇위인가를 체크하는 것도 지겹고, 다운로드하...
Free Hacking Zone
Copyright © 1999-2003 by (주)해커스랩
개인정보 보호 정책