Code Red(コードレッド)は、2001年7月13日にインターネットで発見されたワームである。マイクロソフトの IIS Webサーバが動作するコンピュータを攻撃した。このワームについて最も深く調査したのは、eEye Digital Security のプログラマ達であった。彼らはワームの名称も決めたが、その由来はソフトドリンク「マウンテンデュー」のチェリー味の商品名(CODE RED)と、このワームに攻撃されたWebサイトで見られた "Hacked By Chinese!" という文字列からの連想である(赤狩り参照)。このワームが出現したのは7月13日だが、被害が拡大したのは2001年7月19日のことだった。この日感染したホスト数は359,000に達した[1]。当日は、世界中のネットワークのトラフィックの急増により、どのサイトへもつながりにくい状態が発生し、唯一インターネットが麻痺した日とされる。
概説
利用された脆弱性
このワームは IIS に付属して配布されたインデックスサーバの脆弱性を利用した。この脆弱性については MS01-033 で説明されている。それによると、ワーム出現の約1ヵ月前にパッチが公開されている。
このワームは自身の拡散のために、いわゆるバッファオーバーランと呼ばれる脆弱性を利用した。'N' を繰り返した長い文字列でバッファをオーバーフローさせ、任意のコードを実行してマシンに感染する。
ワームのペイロード
このワームのペイロードには、以下が含まれる。
- 感染したWebサイトは次のように表示させられる(最後の部分はネット上での敗北を表す決まり文句となった。外部リンク参照)
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- インターネット上のIISサーバを探し、さらに感染させようとする。
- 感染後20日から27日待って、いくつかの固定のIPアドレスにDoS攻撃を仕掛けるようになっていた。攻撃目標にはホワイトハウスのWebサーバも含まれていた[1]。
感染可能なマシンを探す際に、このワームは IIS の脆弱性のあるバージョンが動作しているかをチェックしていない。さらに言えば、IIS が動作しているかどうかすらチェックしていなかった。そのため、当時の Apache のアクセスログを調べると、以下のようなエントリが頻繁に見つかる[注釈 1]
- GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNN
- %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
- %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
- %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
類似のワーム
2001年8月4日、Code Red II が出現した。Code Red II は、Code Red ワームから派生したものではない。感染方法が同じであるものの、ペイロードは全く異なる。感染したマシンと同じサブネットかまたは異なるサブネットのターゲットを、ある固定の確率分布に従った擬似乱数的な手法で選択する。通常、同じサブネット内のターゲットを選ぶことが多い。さらに、Code Red で 'N' を繰り返していた部分(バッファオーバーランを発生させる文字列)が 'X' の繰り返しになっている。
eEye はワームの発信地がフィリピンのマカティであると考えている(VBS/Loveletter ワームと同じ発信地である)。
脚注
注釈
- ^ このワームのペイロードは 'N' の羅列の後の文字列である。脆弱なホストはこの文字列を命令列として実行してしまう。
出典
外部リンク