SQL Slammer

SQL Slammer (også kendt som Sapphire, WORM_SQLP1434.A, SQL Hell og Helkern) er en netværksorm , der forårsagede et lammelsesangreb på nogle internetværter og et alvorligt fald i den samlede internettrafik fra kl. 05:30 UTC den 25. januar, 2003. SQL Slammer - det er en orm, der angriber ikke-patchede Microsoft SQL 2000-servere. Den spredte sig hurtigt og inficerede 75.000 computere på 10 minutter. På trods af sit navn brugte ormen ikke SQL -sproget ; han udnyttede et bufferoverløb i Microsofts SQL Server- og Desktop Engine - produkter , som en rettelse var blevet frigivet til seks måneder tidligere. [en]

Historie

Faktisk dukkede selve ormen, eller i det mindste dens skabelon, op den 22. maj 2002. Ormen blev oprettet for at deaktivere SQL-serveren efter ordre fra dens ejer. (Sædvanligvis foretages sådanne ordrer for at kontrollere systemer for sårbarheder) Efter opdagelsen af ​​sårbarheder, som skyldtes, at udnyttelsen forårsagede et lammelsesangreb på SQL-servere, blev en kopi af udnyttelsen sendt til Microsoft Security Response Center . På tidspunktet for Black Hat- sikkerhedsbriefingen havde Microsoft udgivet en patch for at rette op på sårbarhederne. Brugere er blevet advaret om, at en ny patch er blevet installeret for at rette op på sårbarhederne. Desværre, efter et halvt år, viste det sig, at mange brugere, herunder virksomheder og endda nødnummer 911 i staten Washington, ikke installerede patchen. Derefter, ved at bruge ovenstående udnyttelse som en skabelon til koden, oprettede nogen SQL Slammer og lancerede den til verden. [2] Det forårsagede adskillige lammelsesangreb i 2002 og 2003 som et resultat. En rettelse leveret af Microsoft i 2002, samt øget mediedækning af ormen, reducerede risikoen for infektion betydeligt i 2004. [1] [2] [3] [4]

25. januar 2003 begyndte sin eksistens på internettet ved at inficere tusindvis af servere, hvorpå Microsoft SQL Server-software er installeret. Slammer lukkede dele af internettet ned, fordi det spredte sig meget hurtigt, hvilket indirekte forårsagede et lammelsesangreb, og i nogle dele af verden beskadigede det væsentlige tjenester. For eksempel i staten Washington fejlede 911-nødsystemet. SQL Slammer var en 376-byte skadelig kode. Den forsøgte at oprette forbindelse til hver maskine, den kunne finde på MS-SQL UDP-port 1434. [2]

Den person, der skabte Slammer, er aldrig blevet fundet. Der er en teori om, at der var flere forfattere til SQL Slammer, dette begrundes med, at halvdelen af ​​Slammer-koden bruger XOR-metoden til at indstille registerværdier, mens resten af ​​koden bruger MOV-metoden. Indkodere har normalt stilarter, de holder sig til, og ligesom radiooperatører under Anden Verdenskrig var identificerbare ved deres karakteristiske stil eller knytnæve, var indkodere identificerbare ved deres stil og havde en tendens til ikke at skifte mellem at bruge XOR og MOV; og det interessante ved Slammer er, at der er mindst to stilarter involveret, hvilket tyder på, at der er mere end én forfatter. Men dette er kun en teori. [2]

Tekniske detaljer

Ormens 376-byte-pakke påvirker kun SQL-servere , der ikke har SP3 installeret, en Windows Software Service Pack, der indeholder et hotfix til at rette bufferoverløbsfejlen, som ormen udnytter. [en]

Ormen forplanter sig mellem servere, øger trafikken på UDP-port 1434 og forårsager tung netværkstrafik, der kan forringe netværkets ydeevne og føre til lammelsesangreb. Normalt, når trafikken er for stor til, at routerne kan håndtere, skal routerne forsinke eller midlertidigt stoppe netværkstrafikken.

Ifølge repræsentanter fra NSF, DARPA, Silicon Defense, Cisco Systems, AT&T, NIST og CAIDA, er Sapphires distributionsstrategi baseret på tilfældig scanning  - den udvælger tilfældigt IP-adresser, der skal inficeres, og finder til sidst alle sårbare værter. [3] To nøgleaspekter bidrog til den hurtige udbredelse af SQL Slammer. Ormen angreb nye værter via den sessionsløse UDP-protokol . Hele ormen (i alt 376 bytes) passer fuldstændig ind i en enkelt UDP-pakke [5] [6] . Som et resultat kunne en inficeret vært sende hundredvis af pakker med sin krop i sekundet til alle omkring sig, uden at bekymre sig om deres succesfulde levering.

Denne orm inficerer normalt ikke hjemme-pc'er. Da det forbliver i systemhukommelsen, er det nemt at fjerne det.

Noter

1. ↑ 1 2 3 Hvad er SQL Slammer? - Definition fra Techopedia  (engelsk) . techopedia.com . Hentet: 16. august 2022.
2. ↑ 1 2 3 4 The Inside Story of SQL Slammer  . threatpost.com . Hentet: 16. august 2022.
3. ↑ 12 Slammer . _ ethics.csc.ncsu.edu . Hentet: 16. august 2022. (ubestemt)
4. ↑ Ty Mezquita. SQL Slammer Virus (Harbinger of things to come  )  ? . CyberHoot (12. februar 2020). Hentet: 16. august 2022.  (ubestemt)
5. ↑ Moore, David. Safir-/Slammer-ormens udbredelse . CAIDA (Cooperative Association for Internet Data Analysis) . Hentet 6. januar 2017. Arkiveret fra originalen 17. maj 2008. (ubestemt)
6. ↑ Serazzi, Giuseppe & Zanero, Stefano. Computervirus-udbredelsesmodeller // Ydelsesværktøjer og applikationer til netværkssystemer  (engelsk) / Calzarossa, Maria Carla & Gelenbe, Erol. - 2004. - Bd. Vol. 2965. - S. 26-50. — (Forelæsningsnotater i datalogi).