SQL Slammer

Az SQL Slammer (más néven Sapphire, WORM_SQLP1434.A, SQL Hell és Helkern) egy hálózati féreg , amely szolgáltatásmegtagadást okozott néhány internetes gazdagépen, és súlyos visszaesést okozott az általános internetes forgalomban január 25-én 05:30 UTC-től. 2003. SQL Slammer - a javítatlan Microsoft SQL 2000 szervereket támadó féreg, amely gyorsan terjed, 10 perc alatt 75 000 számítógépet fertőz meg. A féreg a neve ellenére nem használta az SQL nyelvet ; kihasználta a puffer túlcsordulást a Microsoft SQL Server és Desktop Engine termékeiben , amelyekre hat hónappal korábban kiadtak egy javítást. [egy]

Történelem

Valójában maga a féreg, vagy legalábbis a sablonja, 2002. május 22-én jelent meg. A féreg az SQL szerver letiltására jött létre, a tulajdonos utasítására. (Általában az ilyen parancsok a rendszerek sebezhetőségének ellenőrzése céljából készülnek.) A biztonsági rések felfedezése után, amelyek miatt a kizsákmányolás az SQL-kiszolgálók szolgáltatásmegtagadását okozta, a kihasználás másolatát elküldtük a Microsoft Security Response Centernek . A Black Hat biztonsági tájékoztató idejére a Microsoft kiadott egy javítást a biztonsági rések javítására. A felhasználók figyelmeztetést kaptak, hogy egy új javítást telepítettek a sérülékenységek kijavítására. Sajnos fél év után kiderült, hogy sok felhasználó, köztük vállalatok, sőt Washington államban a segélyhívó 911 sem telepítette a javítást. Aztán a fenti exploitot használva a kód sablonjaként valaki létrehozta az SQL Slammert, és elindította a világra. [2] Ennek eredményeként több szolgáltatásmegtagadási támadást is okozott 2002-ben és 2003-ban. A Microsoft által 2002-ben biztosított javítás, valamint a féreg megnövekedett médiavisszhangja 2004-re jelentősen csökkentette a fertőzés kockázatát. [1] [2] [3] [4]

2003. január 25-én kezdte meg létezését az interneten, több ezer szerver megfertőzésével, amelyekre Microsoft SQL Server szoftver van telepítve. A Slammer leállította az internet egyes részeit, mert nagyon gyorsan terjedt, közvetetten szolgáltatásmegtagadást okozva, és a világ egyes részein alapvető szolgáltatásokat károsított. Például Washington államban a 911-es segélyhívó rendszer meghibásodott.Az SQL Slammer egy 376 bájtos rosszindulatú kód volt. Megpróbált minden olyan géphez csatlakozni, amelyet az MS-SQL 1434-es UDP-portján talált. [2]

A Slammert létrehozó személyt soha nem találták meg. Van egy elmélet, hogy az SQL Slammernek több szerzője is volt, ezt az indokolja, hogy a Slammer kód fele XOR metódussal állítja be a regiszterértékeket, míg a kód többi része MOV metódust. A kódolóknak általában vannak stílusaik, amelyekhez ragaszkodnak, és ahogy a második világháború idején a rádiósokat megkülönböztető stílusuk vagy öklük alapján lehetett azonosítani, a kódolókat stílusuk alapján lehetett azonosítani, és hajlamosak voltak nem váltani az XOR és a MOV használata között; és ami a Slammerben érdekes, az az, hogy legalább két stílusról van szó, ami arra utal, hogy egynél több szerzőről van szó. De ez csak egy elmélet. [2]

Technikai részletek

A féreg 376 bájtos csomagja csak azokat az SQL Servereket érinti , amelyekre nincs telepítve az SP3, a Windows Software Service Pack, amely gyorsjavítást tartalmaz a féreg által kihasznált puffertúlcsordulási hiba kijavítására. [egy]

A féreg a szerverek között terjed, növelve a forgalmat az 1434-es UDP-porton, és súlyos hálózati forgalmat okozva, amely ronthatja a hálózati teljesítményt, és szolgáltatásmegtagadáshoz vezethet. Általában, ha a forgalom túl nagy ahhoz, hogy az útválasztók kezelni tudják, az útválasztóknak késleltetniük kell vagy ideiglenesen le kell állítaniuk a hálózati forgalmat.

Az NSF, a DARPA, a Silicon Defense, a Cisco Systems, az AT&T, a NIST és a CAIDA képviselői szerint a Sapphire terjesztési stratégiája véletlenszerű keresésen alapul  – véletlenszerűen választja ki a fertőzéshez szükséges IP-címeket, és végül megtalálja az összes sebezhető gazdagépet. [3] Két kulcsfontosságú szempont járult hozzá az SQL Slammer gyors elterjedéséhez. A féreg a munkamenet nélküli UDP protokollon keresztül támadta meg az új gazdagépeket . A teljes féreg (összesen 376 bájt) teljes egészében egyetlen UDP-csomagba illeszkedik [5] [6] . Ennek eredményeként egy fertőzött gazda több száz csomagot küldhet a testével másodpercenként mindenkinek, nem törődve a sikeres kézbesítéssel.

Ez a féreg általában nem fertőzi meg az otthoni számítógépeket. Mivel a rendszermemóriában marad, könnyen eltávolítható.

Jegyzetek

1. ↑ 1 2 3 Mi az SQL Slammer? - A Techopedia definíciója  (angol) . techopedia.com . Letöltve: 2022. augusztus 16.
2. ↑ 1 2 3 4 Az SQL Slammer  belső története . veszélyposta.com . Letöltve: 2022. augusztus 16.
3. ↑ 12 Slammer . _ ethics.csc.ncsu.edu . Letöltve: 2022. augusztus 16. (határozatlan)
4. ↑ Ty Mezquita. SQL Slammer Virus (az eljövendő dolgok hírnöke  )  ? . CyberHoot (2020. február 12.). Letöltve: 2022. augusztus 16.  (határozatlan)
5. ↑ Moore, David. The Spread of the Sapphire/Slammer Worm . CAIDA (Internetes Adatelemzés Szövetkezeti Szövetsége) . Letöltve: 2017. január 6. Az eredetiből archiválva : 2008. május 17. (határozatlan)
6. ↑ Serazzi, Giuseppe és Zanero, Stefano. Számítógépes vírusok terjedési modelljei // Performance Tools and Applications to Networked Systems  (angol) / Calzarossa, Maria Carla & Gelenbe, Erol. - 2004. - 20. évf. Vol. 2965. - P. 26-50. — (Számítástechnikai előadásjegyzetek).