SQL Slammer

SQL Slammer (även känd som Sapphire, WORM_SQLP1434.A, SQL Hell och Helkern) är en nätverksmask som orsakade ett överbelastningsskydd på vissa internetvärdar och en kraftig nedgång i den totala internettrafiken med början 05:30 UTC den 25 januari, 2003. SQL Slammer - det är en mask som attackerar oparpade Microsoft SQL 2000-servrar. Den spred sig snabbt och infekterade 75 000 datorer på 10 minuter. Trots sitt namn använde inte masken SQL- språket ; han utnyttjade ett buffertspill i Microsofts SQL Server- och Desktop Engine - produkter , för vilka en fix hade släppts sex månader tidigare. [ett]

Historik

Faktum är att masken själv, eller åtminstone dess mall, dök upp den 22 maj 2002. Masken skapades för att inaktivera SQL-servern, på order av dess ägare. (Vanligtvis görs sådana beställningar för att kontrollera system för sårbarheter) Efter upptäckten av sårbarheter på grund av vilka exploateringen orsakade en denial of service till SQL-servrar, skickades en kopia av exploateringen till Microsoft Security Response Center . Vid tidpunkten för säkerhetsgenomgången med Black Hat hade Microsoft släppt en patch för att åtgärda sårbarheterna. Användare har blivit varnade för att en ny patch har installerats för att åtgärda sårbarheterna. Tyvärr, efter ett halvår, visade det sig att många användare, inklusive företag och till och med nödnummer 911 i delstaten Washington, inte installerade patchen. Sedan, med användning av ovanstående utnyttjande som en mall för koden, skapade någon SQL Slammer och lanserade den i världen. [2] Det orsakade flera överbelastningsattacker 2002 och 2003 som ett resultat. En korrigering som tillhandahålls av Microsoft 2002, samt ökad mediabevakning av masken, minskade risken för infektion avsevärt 2004. [1] [2] [3] [4]

Den 25 januari 2003 började sin existens på Internet, genom att infektera tusentals servrar på vilka Microsoft SQL Server-programvaran är installerad. Slammer stängde av delar av Internet eftersom det spred sig väldigt snabbt, vilket indirekt orsakade ett överbelastningsskydd, och i vissa delar av världen skadade det viktiga tjänster. Till exempel, i delstaten Washington , misslyckades nödsystemet 911. SQL Slammer var en 376-byte skadlig kod. Den försökte ansluta till varje maskin den kunde hitta på MS-SQL UDP-port 1434. [2]

Personen som skapade Slammer har aldrig hittats. Det finns en teori om att det fanns flera författare till SQL Slammer, detta motiveras av att hälften av Slammer-koden använder XOR-metoden för att ställa in registervärden, medan resten av koden använder MOV-metoden. Kodare har vanligtvis stilar som de följer, och precis som radiooperatörer under andra världskriget kunde identifieras genom sin distinkta stil eller knytnäve, kunde kodare identifieras med sin stil och tenderade att inte växla mellan att använda XOR och MOV; och det som är intressant med Slammer är att det finns minst två stilar inblandade, vilket tyder på att det finns mer än en författare. Men detta är bara en teori. [2]

Tekniska detaljer

Maskens 376-byte paket påverkar endast SQL-servrar som inte har SP3 installerat, ett Windows Software Service Pack som innehåller en snabbkorrigering för att fixa buffertspillfelet som masken utnyttjar. [ett]

Masken sprider sig mellan servrar, ökar trafiken på UDP-port 1434 och orsakar tung nätverkstrafik som kan försämra nätverkets prestanda och leda till överbelastning. Vanligtvis, när trafiken är för stor för routrarna att hantera, måste routrarna fördröja eller tillfälligt stoppa nätverkstrafiken.

Enligt representanter från NSF, DARPA, Silicon Defense, Cisco Systems, AT&T, NIST och CAIDA är Sapphires distributionsstrategi baserad på slumpmässig skanning  - den väljer slumpmässigt IP-adresser att infektera, och hittar så småningom alla sårbara värdar. [3] Två nyckelaspekter bidrog till den snabba spridningen av SQL Slammer. Masken attackerade nya värdar via det sessionslösa UDP-protokollet . Hela masken (totalt 376 byte) passar helt och hållet i ett enda UDP-paket [5] [6] . Som ett resultat kan en infekterad värd skicka hundratals paket med sin kropp per sekund till alla runt omkring, utan att bry sig om deras framgångsrika leverans.

Denna mask infekterar vanligtvis inte hemdatorer. Eftersom det finns kvar i systemminnet är det enkelt att ta bort det.

Anteckningar

1. ↑ 1 2 3 Vad är SQL Slammer? - Definition från Techopedia  (engelska) . techopedia.com . Hämtad: 16 augusti 2022.
2. ↑ 1 2 3 4 Den inre historien om SQL Slammer  . hotpost.com . Hämtad: 16 augusti 2022.
3. ↑ 12 Slammer . _ ethics.csc.ncsu.edu . Hämtad: 16 augusti 2022. (obestämd)
4. ↑ Ty Mezquita. SQL Slammer Virus (Harbinger of things to come  )  ? . CyberHoot (12 februari 2020). Hämtad: 16 augusti 2022.  (obestämd)
5. ↑ Moore, David. Safir-/Slammer-maskens utbredning . CAIDA (Cooperative Association for Internet Data Analysis) . Hämtad 6 januari 2017. Arkiverad från originalet 17 maj 2008. (obestämd)
6. ↑ Serazzi, Giuseppe & Zanero, Stefano. Modeller för spridning av datorvirus // Prestandaverktyg och applikationer till nätverkssystem  (engelska) / Calzarossa, Maria Carla & Gelenbe, Erol. - 2004. - Vol. Vol. 2965. - S. 26-50. — (Föreläsningsanteckningar i datavetenskap).