SQL Slammer

SQL Slammer (cunoscut și sub denumirea de Sapphire, WORM_SQLP1434.A, SQL Hell și Helkern) este un vierme de rețea care a provocat o refuz de serviciu pe unele gazde de internet și o scădere severă a traficului general de internet începând cu ora 05:30 UTC pe 25 ianuarie, 2003. SQL Slammer - este un vierme care atacă serverele Microsoft SQL 2000 nepatchate. S-a răspândit rapid, infectând 75.000 de computere în 10 minute. În ciuda numelui său, viermele nu a folosit limbajul SQL ; el a exploatat o depășire a memoriei tampon în produsele Microsoft SQL Server și Desktop Engine , pentru care o remediere fusese lansată cu șase luni mai devreme. [unu]

Istorie

De fapt, viermele în sine, sau cel puțin șablonul său, a apărut pe 22 mai 2002. Viermele a fost creat pentru a dezactiva serverul SQL, la ordinul proprietarului său. (De obicei, astfel de comenzi sunt făcute pentru a verifica sistemele pentru vulnerabilități) După descoperirea unor vulnerabilități din cauza cărora exploit-ul a cauzat o refuz de serviciu pentru serverele SQL, o copie a exploit-ului a fost trimisă la Centrul de răspuns de securitate Microsoft . Până la momentul informării de securitate Black Hat , Microsoft a lansat un patch pentru a remedia vulnerabilitățile. Utilizatorii au fost avertizați că a fost instalat un nou patch pentru a remedia vulnerabilitățile. Din păcate, după jumătate de an, s-a dovedit că mulți utilizatori, inclusiv corporații și chiar 911 de urgență din statul Washington, nu au instalat patch-ul. Apoi, folosind exploit-ul de mai sus ca șablon pentru cod, cineva a creat SQL Slammer și l-a lansat în lume. [2] Ca urmare, a provocat mai multe atacuri de denegare a serviciului în 2002 și 2003. O remediere furnizată de Microsoft în 2002, precum și o acoperire mediată sporită a viermelui, au redus semnificativ riscul de infecție până în 2004. [1] [2] [3] [4]

25 ianuarie 2003 și-a început existența pe Internet, prin infectarea a mii de servere pe care este instalat software-ul Microsoft SQL Server. Slammer a închis anumite părți ale internetului, deoarece acesta se răspândea foarte rapid, provocând indirect o refuzare a serviciului, iar în unele părți ale lumii a deteriorat serviciile esențiale. De exemplu, în statul Washington , sistemul de urgență 911 a eșuat. SQL Slammer era un cod rău intenționat de 376 de octeți. A încercat să se conecteze la fiecare mașină pe care a putut-o găsi pe portul MS-SQL UDP 1434. [2]

Persoana care a creat Slammer nu a fost niciodată găsită. Există o teorie că au existat mai mulți autori ai SQL Slammer, acest lucru este justificat de faptul că jumătate din codul Slammer folosește metoda XOR pentru a seta valorile registrului, în timp ce restul codului folosește metoda MOV. Codificatoarele au de obicei stiluri la care aderă și, la fel cum operatorii radio în timpul celui de-al Doilea Război Mondial erau identificabili prin stilul sau pumnul lor distinctiv, codificatorii erau identificabili după stilul lor și nu aveau tendința de a comuta între utilizarea XOR și MOV; și ceea ce este interesant la Slammer este că există cel puțin două stiluri implicate, ceea ce sugerează că există mai mult de un autor. Dar aceasta este doar o teorie. [2]

Detalii tehnice

Pachetul de 376 de octeți al viermelui afectează doar serverele SQL care nu au SP3 instalat, un pachet de servicii software Windows care include o remediere rapidă pentru a remedia eroarea de depășire a tamponului pe care o exploatează viermele. [unu]

Viermele se propagă între servere, crescând traficul pe portul UDP 1434 și provocând un trafic intens de rețea care poate degrada performanța rețelei și poate duce la refuzul serviciului. De obicei, atunci când traficul este prea mare pentru ca routerele să le poată gestiona, ruterele trebuie să întârzie sau să oprească temporar traficul în rețea.

Potrivit reprezentanților de la NSF, DARPA, Silicon Defense, Cisco Systems, AT&T, NIST și CAIDA, strategia de distribuție a lui Sapphire se bazează pe scanare aleatorie  - selectează aleatoriu adrese IP pentru a infecta, găsind în cele din urmă toate gazdele vulnerabile. [3] Două aspecte cheie au contribuit la răspândirea rapidă a SQL Slammer. Viermele a atacat noi gazde prin protocolul UDP fără sesiune . Întregul vierme (în total 376 de octeți) se potrivește în întregime într-un singur pachet UDP [5] [6] . Drept urmare, o gazdă infectată ar putea trimite sute de pachete cu corpul său pe secundă tuturor celor din jur, fără să le pese de livrarea lor cu succes.

Acest vierme de obicei nu infectează computerele de acasă. Deoarece rămâne în memoria sistemului, este ușor să îl eliminați.

Note

1. ↑ 1 2 3 Ce este SQL Slammer? - Definiție din Techopedia  (engleză) . techopedia.com . Preluat: 16 august 2022.
2. ↑ 1 2 3 4 Povestea interioară a SQL Slammer  . threatpost.com . Preluat: 16 august 2022.
3. ↑ 12 Slammer . _ etica.csc.ncsu.edu . Preluat: 16 august 2022. (nedefinit)
4. ↑ Ty Mezquita. Virusul SQL Slammer (prevestitor al lucrurilor viitoare  )  ? . CyberHoot (12 februarie 2020). Preluat: 16 august 2022.  (nedefinit)
5. ↑ Moore, David. Răspândirea Safirului/Viermele Slammer . CAIDA (Asociația Cooperativă pentru Analiza Datelor pe Internet) . Preluat la 6 ianuarie 2017. Arhivat din original la 17 mai 2008. (nedefinit)
6. ↑ Serazzi, Giuseppe & Zanero, Stefano. Modele de propagare a virusurilor computerizate // Instrumente de performanță și aplicații pentru sistemele în rețea  (engleză) / Calzarossa, Maria Carla & Gelenbe, Erol. - 2004. - Vol. Vol. 2965. - P. 26-50. — (Note de curs în Informatică).