SQL Slammer

SQL Slammer ^[a] - компьютерный червь 2003 года, который вызвал отказ в обслуживании на некоторых узлах Интернета и резко замедлил общий трафик Интернета . Он быстро распространился, заразив большую часть своих 75 000 жертв в течение десяти минут.

Программа использовала ошибку переполнения буфера в продуктах баз данных Microsoft SQL Server и Desktop Engine . Хотя исправление MS02-039 было выпущено шестью месяцами ранее, многие организации еще не применили его.

Технические детали [ править ]

Червь был основан на доказательстве концептуального кода продемонстрированного на Black Hat Брифинги по Дэвиду Личфилд , который первоначально обнаружил уязвимость переполнения буфера , что червь использовал. ^[2] Это небольшой фрагмент кода, который мало что делает, кроме генерации случайных IP-адресов и их рассылки по этим адресам. Если выбранный адрес принадлежит узлу, на котором запущена непропатченная копия службы разрешения Microsoft SQL Server, прослушивающая UDP-порт 1434, узел немедленно заражается и начинает забрасывать Интернет новыми копиями программы-червя.

Домашние компьютеры обычно не уязвимы для этого червя, если на них не установлен MSDE. Червь настолько мал, что не содержит кода для записи себя на диск, поэтому остается только в памяти и его легко удалить. Например, Symantec предоставляет бесплатную утилиту для удаления, или ее можно даже удалить, перезапустив SQL Server (хотя машина, скорее всего, будет немедленно повторно заражена).

Червь стал возможным благодаря уязвимости системы безопасности в SQL Server, о которой впервые сообщила Microsoft 24 июля 2002 года. За шесть месяцев до запуска червя Microsoft выпустила исправление, но многие установки не были исправлены, в том числе многие в Microsoft. . ^[3]

Червя начали замечать рано 25 января 2003 г. ^[b], поскольку он замедлял работу систем по всему миру. Замедление было вызвано выходом из строя множества маршрутизаторов под бременем чрезвычайно высокой бомбардировки трафика с зараженных серверов. Обычно, когда трафик слишком высок для маршрутизаторов, они должны задерживать или временно останавливать сетевой трафик. Вместо этого некоторые маршрутизаторы вышли из строя (стали непригодными для использования), и «соседние» маршрутизаторы заметили, что эти маршрутизаторы остановились и с ними не следует связываться (они же «удалены из таблицы маршрутизации»)."). Маршрутизаторы начали отправлять уведомления об этом другим маршрутизаторам, о которых они знали. Поток уведомлений об обновлении таблицы маршрутизации привел к отказу некоторых дополнительных маршрутизаторов, что усугубило проблему. В конце концов, специалисты по обслуживанию аварийных маршрутизаторов перезапустили их, заставив объявить свой статус , что привело к новой волне обновлений таблиц маршрутизации. Вскоре значительная часть полосы пропускания Интернета была занята маршрутизаторами, обменивающимися данными друг с другом для обновления своих таблиц маршрутизации, и обычный трафик данных замедлился, а в некоторых случаях и вовсе прекратился. небольшой по размеру, иногда он мог проходить, когда легитимного трафика не было.

Быстрому распространению SQL Slammer способствовали два ключевых аспекта. Червь заразил новые хосты по бессессионному протоколу UDP , и весь червь (всего 376 байт) умещается в одном пакете. ^[8]^[9] В результате каждый зараженный хост мог просто «запустить и забыть» пакеты как можно быстрее.

Заметки [ править ]

^ Другие имена включают W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32 / SQLSlammer и Helkern. ^[1]
^ Публичное раскрытие началось с Майклом Bacarella размещения сообщения в Bugtraq списке рассылки безопасности под названием «MS SQL WORM губит ИНТЕРНЕТ BLOCK PORT 1434!» ^[4] в 07:11:41 UTC 25 января 2003 года. Подобные отчеты были опубликованы Робертом Бойлом в 08:35 UTC^[5] и Беном Коши в 10:28 UTC^[6] . Ранний анализ, выпущенный Symantec, имеет отметку времени 07. : 45 GMT. ^[7]

Ссылки [ править ]

^ "Symantec W32.SQLExp.Worm" .
↑ Лейден, Джон (6 февраля 2003 г.). «Slammer: Почему безопасность выигрывает от доказательства концепции кода» . Зарегистрироваться . Проверено 29 ноября 2008 года .
^ «Microsoft тоже атакована червем» .
^ Bacarella, Майкл (25 января 2003). "MS SQL WORM УНИЧТОЖАЕТ БЛОЧНЫЙ ПОРТ ИНТЕРНЕТ 1434!" . Bugtraq . Проверено 29 ноября 2012 года .
↑ Бойл, Роберт (25 января 2003 г.). «Душевный покой через честность и проницательность» . Архивы Неоапсиса. Архивировано из оригинального 19 -го февраля 2009 года . Проверено 29 ноября 2008 года .
^ Koshy, Бен (25 января 2003). «Душевный покой через честность и проницательность» . Архивы Неоапсиса. Архивировано из оригинального 19 -го февраля 2009 года . Проверено 29 ноября 2008 года .
^ «SQLExp SQL Server Worm Analysis» (PDF) . Система управления угрозами DeepSight ™ Анализ угроз. 28 января 2003 г.
^ Мур, Дэвид и др. "Распространение сапфирового червя / Slammer" . CAIDA (Кооперативная ассоциация анализа данных в Интернете) .CS1 maint: использует параметр авторов ( ссылка )
^ Серацци, Джузеппе; Занеро, Стефано (2004). «Модели распространения компьютерных вирусов» (PDF) . В Кальцаросса Мария Карла; Геленбе, Эрол (ред.). Инструменты производительности и приложения для сетевых систем . Конспект лекций по информатике. 2965 . С. 26–50.

Внешние ссылки [ править ]

Новости

BBC NEWS Technology Вирусоподобная атака поражает веб-трафик
Червь MS SQL Server, сеющий хаос
Wired 11.07: Хлопнули! Объяснение кода Slammer для непрофессионала.

Объявление

Бюллетень по безопасности Microsoft MS02-039 и исправление
«CERT Advisory CA-2003-04: MS-SQL Server Worm» . Институт программной инженерии Университета Карнеги-Меллона . Архивировано 1 февраля 2003 года . Проверено 22 сентября 2019 .CS1 maint: неподходящий URL ( ссылка )
Ответ Symantec Security Response - W32.SQLExp.Worm

Анализ

Внутри червя Slammer Журнал IEEE Security and Privacy Magazine, Дэвид Мур, Верн Паксон, Стефан Сэвидж, Коллин Шеннон, Стюарт Стэнифорд и Николас Уивер

Технические детали

Дизассемблированный код червя на Wayback Machine (архивировано 22 июля 2011 г.)
Множественные уязвимости в Microsoft SQL Server - Институт разработки программного обеспечения Карнеги-Меллона

[2] Другие имена включают W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32 / SQLSlammer и Helkern. ^[1]

[9] Публичное раскрытие началось с Майклом Bacarella размещения сообщения в Bugtraq списке рассылки безопасности под названием «MS SQL WORM губит ИНТЕРНЕТ BLOCK PORT 1434!» ^[4] в 07:11:41 UTC 25 января 2003 года. Подобные отчеты были опубликованы Робертом Бойлом в 08:35 UTC^[5] и Беном Коши в 10:28 UTC^[6] . Ранний анализ, выпущенный Symantec, имеет отметку времени 07. : 45 GMT. ^[7]

[1] "Symantec W32.SQLExp.Worm" .

[3] Лейден, Джон (6 февраля 2003 г.). «Slammer: Почему безопасность выигрывает от доказательства концепции кода» . Зарегистрироваться . Проверено 29 ноября 2008 года .

[4] «Microsoft тоже атакована червем» .

[5] Bacarella, Майкл (25 января 2003). "MS SQL WORM УНИЧТОЖАЕТ БЛОЧНЫЙ ПОРТ ИНТЕРНЕТ 1434!" . Bugtraq . Проверено 29 ноября 2012 года .

[6] Бойл, Роберт (25 января 2003 г.). «Душевный покой через честность и проницательность» . Архивы Неоапсиса. Архивировано из оригинального 19 -го февраля 2009 года . Проверено 29 ноября 2008 года .

[7] Koshy, Бен (25 января 2003). «Душевный покой через честность и проницательность» . Архивы Неоапсиса. Архивировано из оригинального 19 -го февраля 2009 года . Проверено 29 ноября 2008 года .

[8] «SQLExp SQL Server Worm Analysis» (PDF) . Система управления угрозами DeepSight ™ Анализ угроз. 28 января 2003 г.

[10] Мур, Дэвид и др. "Распространение сапфирового червя / Slammer" . CAIDA (Кооперативная ассоциация анализа данных в Интернете) .CS1 maint: использует параметр авторов ( ссылка )

[11] Серацци, Джузеппе; Занеро, Стефано (2004). «Модели распространения компьютерных вирусов» (PDF) . В Кальцаросса Мария Карла; Геленбе, Эрол (ред.). Инструменты производительности и приложения для сетевых систем . Конспект лекций по информатике. 2965 . С. 26–50.

[a]