HOME > 게시판 > 공지사항
게시판| 공지사항
 
작성일 : 02-09-26 09:46
OpenSSL/Apache Slapper Worm변종
 글쓴이 : 관리자
조회 : 5,040  

[OpenSSL/Apache Worm(Slapper worm) 변종 전파]

개 요
Slapper(Slapper.A) 와 같은 취약점(Secure Sockets Layer 2.0 (SSLV2)의
handshake process)을 공격하는 변종들이 출현함. 현재 Slapper.B,
Slapper.C 가 번지고 있는 추세임. 특히 Slapper.B는 서버에 과부하를 줄
정도로 대량의 공격시도를 하며 전파중임.

영 향
Slapper 변종들은 원본과 비슷한 작동을 함. 백도어의 설치 및 DDos 공격의
기능을 가지고 있음.

취약장비
OpenSSL 0.9.6d 및 0.9.7 beta1 을 포함한 이전버젼들은 모두 해당됨.
현재까지 공격대상이 되는 Apache 웹서버의 버젼은 아래와 같음.
Debian Linux, Apache 1.3.26
Red Hat Linux, Apache 1.3.6
Red Hat Linux, Apache 1.3.9
Red Hat Linux, Apache 1.3.12
Red Hat Linux, Apache 1.3.19
Red Hat Linux, Apache 1.3.20
Red Hat Linux, Apache 1.3.23
SuSE Linux, Apache 1.3.12
SuSE Linux, Apache 1.3.17
SuSE Linux, Apache 1.3.19
SuSE Linux, Apache 1.3.20
SuSE Linux, Apache 1.3.23
Mandrake Linux, Apache 1.3.14
Mandrake Linux, Apache 1.3.19
Mandrake Linux, Apache 1.3.20
Mandrake Linux, Apache 1.3.23
Mandrake Linux, Apache 1.3.26
Slackware Linux, Apache 1.3.26
Gentoo Linux, Apache

세부설명
현재까지 나온 변종들

Slapper.B:
Peer-to-Peer Network Slapper.B 는 감염된 호스트들 간에 Peer-to-peer
Network을 형성함. 이들은 UDP port 4156 으로 통신함. 새로운 기능
mailme()라는 함수를 호출하여
aion@ukr.net로 감염된 호스트의 IP 및
호스트이름, 링크되어있는 호스트의 IP를 메일로 전송. UDP 1052포트를
사용하는 추가적인 백도어를 설치.

Filename 및 Process Name은 아래와 같음.
/tmp/httpd - Slapper.B worm 실행파일 ( apache 의 httpd 가 아님. 이름만
같은것임)
/tmp/update - Slapper.B 백도어 프로세스
/tmp/.unlock - Gzip 으로 압축된 웜과 백도어 소스. 위에서 보듯이 Slapper.
B는 이름이 httpd로 되어있음. 마치 Apache Web Server가 실행하고 있는것
처럼 보임.

Slapper.C:
Slapper.C 는 자신의 user-id로 실행가능하고 쓰기가능한 파일을 찾아서
덮어쓰기를 함. 또한 자신을 .cinik란 파일이름으로 웹서버의 user-id로
복사함. Slapper.C는 crontab에 자신을 복사하도록 등록함. 웜 프로세스가
죽으면 crontab이 재시작 시킴. 다른 Slapper변종들은 이 특징을 가지고
있지 않음. 또한
cinik_worm@yahoo.com으로 ip address, CPU info, 메모리
정보, 감염된호스트를 보냄. Filename 및 Process Name은 아래와 같음.
/tmp/.cinik - Slapper.C 실행파일
/tmp/.cinik.c - Slapper.C 웜 소스파일
/tmp/.cinik.uu - uuencode로 인코딩 된 Slapper.C 웜 소스파일
/tmp/.cinik.go - Slapper.C 쉘 스크립트

웜 제거방법

Slapper.B:
1). 모든 웜 프로세스를 죽임
netstat -anp | grep 4156 | grep UDP 여기서 PID를 확인한 후
kill -9 PID 위에서 발견된 PID의 프로세스를 죽임

2). 모든 백도어 프로세스를 죽임
ps -aux | grep update | grep apache update백도어가 실행중이면 여기서
PID를 확인한 후 kill -9 PID 위에서 발견된 PID의 프로세스를 죽임

Slapper.C:
1). 모든 웜 프로세스를 죽임
killall -9 .cinik
2). 모든 확인되는 웜을 제거
rm -rf /tmp/.cinik
rm -rf /tmp/.cinik.c
rm -rf /tmp/.cinik.uu
rm -rf /tmp/.cinik.go
rm -rf /tmp/.font-unix/.cinik

find / -name .cinik -print 여기서 나오는 .cinik를 모두 제거
3). Slapper.C에 관련된 crontab 내용을 제거

(원문인용:
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21184
)

 

-----Original Message-----
From:
owner-sec-info@firebird.certcc.or.kr [mailto:owner-sec-
info@firebird.certcc.or.kr] On Behalf Of Sukbum Hong
Sent: Tuesday, September 24, 2002 6:58 PM
To:
sec-info@cert.certcc.or.kr
Subject: Re: UDP 4156으로 오는 패킷에 정체가 무엇인지..?


안녕하십니까?

저는 오늘과내일의 홍석범입니다.

말씀하신 포트 4156/udp 번은 기본적으로 포트 2002/udp 번을 사용하는
slapper 웜의 변종입니다.
포트 4156/udp 의 activity 에 대해서는 아래 사이트를 참고하세요.
http://isc.incidents.org/port_details.html?port=4156

4156 외에도 1978번을 사용하는 변종도 있는 것으로 알려졌습니다.

조처 방법은 동일합니다.

감사합니다.


----- Original Message -----
From: 조경희
To:
sec-info@cert.certcc.or.kr
Sent: Monday, September 23, 2002 11:23 AM
Subject: UDP 4156으로 오는 패킷에 정체가 무엇인지..?


안녕하세요...
서버에 이상 증세로 트래픽이 증가하길래...
Tcpdump로 모니터링을 하던중..
아래와 같이...출 발해 오는 패킷에 주소가 모두 다른며..
항상 211.239.12?.??에 4156으로 UDP패킷을 보내고 있습니다..
이게 도대체 무슨 문제인지 감이 안오고 있습니다..
만약 시작점에 IP를 변경한다면...역추적 하는 방법이 있는지 알고 싶구요...
(ㅜ.ㅡ);; 부디 저에게 조언을 해주십사... 메일 드립니다..

tcpdump -i eth0 내용입니다..

10:58:51.925185 80.247.64.3.4156 > 211.239.12?.??.4156:  udp 41 (DF)
10:58:51.935185 66.121.102.42.4156 > 211.239.12?.??.4156:  udp 41 (DF)
10:58:51.955185 isis.szk.bme.hu.4156 > 211.239.12?.??.4156:  udp 60
(DF) 10:58:51.955185 216.235.147.122.4156 > 211.239.12?.??.4156:  udp
60 (DF) 10:58:52.015185 day.CSUChico.EDU.4156 > 211.239.12?.??.4156:
udp 60 (DF) 10:58:52.035185 213.215.146.202.4156 > 211.239.12?.??.4156:
udp 41 (DF) 10:58:52.065185 palladium.fm.vse.cz.4156 >
211.239.12?.??.4156:  udp 60 (DF) 10:58:52.075185 211.147.1.88.4156 >
211.239.12?.??.4156:  udp 41 (DF) 10:58:52.085185 terra.anu.edu.au.4156
> 211.239.12?.??.4156:  udp 60 (DF) 10:58:52.085185 202.103.172.60.4156
> 211.239.12?.??.4156:  udp 41 (DF) 10:58:52.085185
brc2.phys.wvu.edu.4156 > 211.239.12?.??.4156:  udp 41 (DF)
10:58:52.095185 arp who-has 211.180.182.60 tell ns.nspia.com
10:58:52.115185 150.254.84.227.4156 > 211.239.12?.??.4156:  udp 41 (DF)
10:58:52.145185 parsek.yf.ttu.ee.4156 > 211.239.12?.??.4156:  udp 41
(DF) 10:58:52.155185 cybernat01.cybermedia.nl.4156 >
211.239.12?.??.4156:  udp 60 (DF)

-x
11:03:40.665185 www3.kentei.com.4156 > 211.180.182.59.4156:  udp 60 (DF)
                         4500 0058 0000 4000 3111 c432 4038 bb3a
                         d3b4 b63b 103c 103c 0044 2350 0000 0000
                         59d1 0000 0028 3613 2600 0000 0ec5 f826
                         3000 0000 dd74 1186 0305 0000 0000 0000
                         c610 0000 7100 0000 0000 0000 0400 0000
                         0000

-e 해본경과 0:2:85:1c:64:e0  맥 어드레스에서 계속 날라오는대... 어찌
처리해야 할지 모르겠습니다.

11:04:52.345185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
shemp.bucks.edu.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.345185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
sucalc.syr.edu.4156 > 211.239.12?.??.4156:  udp 41 (DF) 11:04:52.375185
0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
rousemouse.broadviewhouse.net.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.375185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
telnet.misplog.net.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.395185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
umnoc.backbone.olemiss.edu.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.405185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83: mail.afa-systems.
com.4156 > 211.239.12?.??.4156:  udp 41 (DF) 11:04:52.405185
0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83: nomad.tallship.net.4156 >
211.239.12?.??.4156:  udp 41 (DF) 11:04:52.435185 0:2:85:1c:64:e0
0:3:47:a5:f1:ff ip 83: umnoc.backbone.olemiss.edu.4156 > 211.239.12?.??.
4156:  udp 41 (DF) 11:04:52.445185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip
83: dial21-ripley2.hurontel.on.ca.4156 > 211.239.12?.??.4156:  udp 41
(DF) 11:04:52.445185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
michelle2.cobweb.net.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.455185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
212.175.169.249.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.475185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
geos.anu.edu.au.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.495185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83: ip-11-225-104-
152.anlai.com.4156 > 211.239.12?.??.4156:  udp 41 (DF) 11:04:52.495185
0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
condor.genoma.cenargen.embrapa.br.4156 > 211.239.12?.??.4156:  udp 41
(DF) 11:04:52.505185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
tp085009.seeder.net.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.505185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83: cpe-24-221-72-45.
mi.sprintbbd.net.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.515185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 102:
157.110.44.158.4156 > 211.239.12?.??.4156:  udp 60 (DF) 11:04:52.525185
0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 102: 202.187.202.42.4156 >
211.239.12?.??.4156:  udp 60 (DF) 11:04:52.555185 0:2:85:1c:64:e0
0:3:47:a5:f1:ff ip 83: weather.jsums.edu.4156 > 211.239.12?.??.4156:
udp 41 (DF) 11:04:52.555185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83: 216-
185-101-23.theplanet.com.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.565185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83: michelle2.cobweb.
net.4156 > 211.239.12?.??.4156:  udp 41 (DF) 11:04:52.575185
0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 102: roo.mobilemedia.no.4156 >
211.239.12?.??.4156:  udp 60 (DF) 11:04:52.595185 0:2:85:1c:64:e0
0:3:47:a5:f1:ff ip 102: 211-23-202-123.HINET-IP.hinet.net.4156 >
211.239.12?.??.4156:  udp 60 (DF) 11:04:52.605185 0:2:85:1c:64:e0
0:3:47:a5:f1:ff ip 83: mybnc.com.4156 > 211.239.12?.??.4156:  udp 41
(DF) 11:04:52.635185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
c252.h061013161.is.net.tw.4156 > 211.239.12?.??.4156:  udp 41 (DF)
11:04:52.655185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
210.99.124.131.4156 > 211.239.12?.??.4156:  udp 41 (DF) 11:04:52.685185
0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83: hal.digitalview.com.4156 >
211.239.12?.??.4156:  udp 41 (DF) 11:04:52.705185 0:2:85:1c:64:e0
0:3:47:a5:f1:ff ip 83: 203.194.194.222.4156 > 211.239.12?.??.4156:  udp
41 (DF) 11:04:52.725185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
mail.mw.celtelplus.com.4156 > 211.239.12?.??.4156:  udp 41 (DF)

-vv추가
11:10:02.875185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 102:
193.1.133.67.4156 > 211.239.12?.??.4156:  udp 60 (DF) (ttl 45, id 0,
len 88) 11:10:02.875185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
134.109.193.89.4156 > 211.239.12?.??.4156:  [udp sum ok] udp 41 (DF)
(ttl 44, id 0, len 69) 11:10:02.875185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff
ip 83: 63.140.240.91.4156 > 211.239.12?.??.4156:  [udp sum ok] udp 41
(DF) (ttl 42, id 0, len 69) 11:10:02.885185 0:2:85:1c:64:e0
0:3:47:a5:f1:ff ip 83: 63.140.240.91.4156 > 211.239.12?.??.4156:  [udp
sum ok] udp 41 (DF) (ttl 42, id 0, len 69) 11:10:02.885185
0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83: 210.112.129.140.4156 >
211.239.12?.??.4156:  [udp sum ok] udp 41 (DF) (ttl 48, id 0, len 69)
11:10:02.895185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff ip 83:
137.164.232.31.4156 > 211.239.12?.??.4156:  [udp sum ok] udp 41 (DF)
(ttl 41, id 0, len 69) 11:10:02.905185 0:2:85:1c:64:e0 0:3:47:a5:f1:ff
ip 83: 211.210.31.30.4156 > 211.239.12?.??.4156:  [udp sum ok] udp 41
(DF) (ttl 51, id 0, len 69) 11:10:02.945185 0:2:85:1c:64:e0
0:3:47:a5:f1:ff ip 102: 217.115.141.48.4156 > 211.239.12?.??.4156:  udp
60 (DF) (ttl 44, id 0, len 88)

감사합니다...

조경희
sysop@netizen.ne.kr

   ---------------------------------------------------------
     sec-info Mailing list 탈퇴를 원하시는분은 메시지 본문에
     다음과 같이 쓰신후 <
Majordomo@certcc.or.kr>로 메일을
     보내 주시면 됩니다.

           unsubscribe sec-info your-mail-address
   ---------------------------------------------------------


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기