SQL Slammer – Wikipédia

Posted on by
before-content-x4

SQL Slammer (znany również jako Szafir ) to robak komputerowy, który spowodował Odmowa usługi na niektórych komputerach hosta internetowego i poważne spowolnienie ruchu internetowego. Jego propagacja była błyskawica. Michael Bacarella jako pierwszy ogłosił, ale to Christopher J. Rouland, CTO de Iss, mianował go Slammer (patrz poniższe notatki). Chociaż nazywał się „SQL Slammer Worm”, program nie używał języka SQL; Zamiast tego rozprzestrzeniono dzięki wadę przełącznika bufora z serwerów Microsoft SQL Server i serwerów bazy danych MSDE, dla których istniała już korekta.

after-content-x4

. Od 05:30 UTC Computer Worm SQL Slammer rozpoczął rozkład [[[ Pierwszy ] W [[[ 2 ] . Rozprzestrzenił się tak szybko, że zaraża większość swoich ofiar podczas pierwszych dziesięciu minut ataku [[[ 2 ] .

Jest to wrażliwość Microsoft SQL Server zgłaszana przez Microsoft The [[[ 3 ] W [[[ 4 ] co pozwoliło na wdrożenie robaka. W tym samym czasie, co to ogłoszenie, Microsoft opublikował również korekcję w tej wadzie, sześć miesięcy przed rozpoczęciem ataku [[[ 5 ] .

SQL Slammer ujawnił, że niektórzy administratorzy sieci, w tym w Microsoft, nie zastosowali niezbędnych poprawek do używanego oprogramowania [[[ 6 ] W [[[ 7 ] , nawet jeśli korekta z tej winy została opublikowana 6 miesięcy, dzień przed transmisją robaka. Możliwe jest również skorygowanie tej usterki, instalując usługę PACK 3 dla SQL Server [[[ 8 ] .

Worm jest również znany jako nazwy: w32.sqlexp.worm, ddos.sqlp1434.a, sql_hel, w32/sqlslammer i helpnnn [[[ 4 ] W [[[ 9 ] .

Funkcjonowanie [[[ modyfikator |. Modyfikator i kod ]

Projekt robaka oparty jest na demonstracji wykonalności, wystawionej na konferencję Black Hat David Litchfield (W) , Wykorzystanie podatności na typ bufora, który wcześniej odkrył [[[ dziesięć ] . Ten robak jest małym kodem, który nie generuje losowo adresów IP i wysyła kopie na te adresy [[[ 4 ] W [[[ 11 ] . Jeśli pod jednym z tych adresów istnieje komputer wykonujący wersję Microsoft SQL Server, do której korygnalna opublikowana w biuletynie nie została zastosowana w biuletynie MS02-039 Natychmiast zostaje zarażony, a z kolei zaczyna wysyłać przez Internetowe nowe kopie robaka [[[ 4 ] W [[[ 9 ] W [[[ 11 ] .

Kod ver, bardzo krótki (306 bajtów) [[[ 4 ] W [[[ 11 ] nie zawiera żadnych instrukcji do kopiowania na płycie, dlatego znajduje się tylko w pamięci [[[ 9 ] W [[[ 4 ] Co sprawia, że ​​bardzo łatwo jest usunąć. Aby to zrobić, możesz użyć narzędzia do usunięcia, takiej jak to przewidziane za darmo przez Symantec (patrz link zewnętrzny poniżej) lub po prostu ponownie uruchomić serwer [[[ dwunasty ] , ale maszyna prawdopodobnie zostanie ponownie zaklutowana niemal natychmiast [[[ 13 ] .

after-content-x4

Dwie kluczowe cechy przyczyniły się do szybkiego rozprzestrzeniania się robaka SQL: zastosowanie protokołu UDP do zarażania nowych gospodarzy [[[ 4 ] W [[[ 11 ] oraz możliwość zachowania kodu robaka w jednym pakiecie UDP [[[ 14 ] . Zwolniony przez użycie UDP z potrzeby nawiązania połączenia jak w TCP [[[ dwunasty ] , zainfekowany gospodarz mógłby użyć SO -Calred „Strzelanie i zapomnienie”, aby przekazywać pakiet tak często, jak to możliwe (zwykle kilkaset na sekundę) [[[ 14 ] .

Niniejszy robak nie ma wpływu na komputery osobiste (PC), chyba że MSDE jest zainstalowane [[[ 15 ] .

Efekty [[[ 16 ] W [[[ 17 ] [[[ modyfikator |. Modyfikator i kod ]

Upadek wielu routerów, w reakcji na bardzo duży wzrost ruchu spowodowany ogromnym wysyłaniem kopii robaka przez zainfekowane serwery, spowodowało znaczne spowolnienie w Internecie z powodu ogromnego ruchu na porcie 1434. Zbyt ważny, aby router mógł się nim zająć, ten ostatni ma opóźniać lub tymczasowo zatrzymać ruch. Przeciążenie bandlingowe spowodowało dysfunkcję niektórych routerów, bezpośrednio „odłączone” od sieci internetowej przez sąsiednie routery (poprzez wycofanie z tabeli routingu). Wreszcie, wiele powiadomień o aktualizacji dróg, albo w celu usunięcia wygaszonych routerów z sieci, albo do dodania nowych, które ponownie uruchomiły się, bardzo szybko zmonopolizowało znaczną część przepustowości Internetu. W konsekwencji zwykły ruch zwolnił, nawet posuwając się tak daleko, aby w niektórych przypadkach całkowicie się zatrzymać. Jednak ironiczne jest zauważenie, że ze względu na swój bardzo mały rozmiar robak SQL Slammer może być czasem przekazywany, podczas gdy prawowit ruch nie mógł.

Istnieje kontrowersja, kto najpierw znalazł Slammer, chociaż w praktyce jest praktycznie niemożliwe. Możemy jednak przypisać pierwszą publiczną alert Michaelowi Bacarellę, który wysłał wiadomość na liście transmisji Bugtraq: „Ver MS SQL niszczy Internet – Port Block 1434! “(” MS SQL Worm niszczy Internet – Port Block 1434! ») [[[ 18 ] . Wysłane na 07:11:41 UTC LE .

Jednak pierwsze ogłoszenie jest często przypisywane Benowi Koshy’emu. Rzeczywiście, firma W3Media, dla której pracował, wydała w tym celu komunikat prasowy [[[ 19 ] . Jednak jego ostrzeżenie [[[ 20 ] Do publiczności wysłano na listę transmisji NTBUGTRAQ, wysłano tylko o 10:28 PTC. Robert Boyle wysłał ostrzeżenie do NTBUGTRAQ o 08:35 UTC [[[ 21 ] Więc przed Koshy, ale po Bacarelli.

ISS, za pośrednictwem Chrisa Roulanda, wysłał alerty do 11:54 UTC [[[ 22 ] i o 11:56 UTC [[[ 23 ] Na listach dystrybucji ISSFORUM i Vulnwatch.

  1. (W) SQL Slammer Worm Wass Havoc w Internecie »
  2. A et b (W) Analiza szafirowego robaka – wspólny wysiłek Caida, ICSI, obrony krzemowej, UC Berkeley EECS i UC San Diego CSE »
  3. (W) „Przepełnienia serwera Microsoft SQL Server Resolution Buffer umożliwia dowolne wykonanie kodu” »
  4. a b c d e f i g (W) Net-Worm.Win32.Slammer »
  5. (W) „Cert Advisory CA-2002-22 Wiele luk w Microsoft SQL Server” »
  6. (W) Eksperci: Microsoft Security otrzymuje „F” »
  7. (W) Worm odsłania apatię, wady Microsoft »
  8. (W) Wirus SQL Slammer »
  9. A B i C (W) Symantec W32.SQLEXP.Worm – Podsumowanie »
  10. Jan Leyden « Slammer: Dlaczego bezpieczeństwo korzysta z dowodu kodu koncepcyjnego », Rejestr W ( Czytaj online , skonsultuałem się z )
  11. A B C i D (W) Symantec W32.sqlexp.worm – szczegóły techniczne »
  12. A et b (W) Analiza zagrożenia systemem zarządzania zagrożeniem głębokim: SQLEXP SQL Server Analiza robaka »
  13. (W) Propagacja robaka SQL »
  14. A et b (W) Rozprzestrzenianie się szafiru/robaka »
  15. Worm: W32/Slammer »
  16. (W) Wewnątrz robaka »
  17. (W) Wpływ robaków na stabilność routingu w Internecie »
  18. (W) Michael Bacarella W MS SQL WORM niszczy Internet Block Port 1434! » . Bugtraq, (skonsultuję się z )
  19. (W) Ben Koshy z W3 Media najpierw zidentyfikował wirusa „slinującego” Internetu » W Komunikat prasowy , W3 Media, (skonsultuję się z )
  20. (W) Ben Koshy W Peace of Mind Through Integrity and Insight» [[[ Archive Du ] , Być może archiwa Neois, (skonsultuję się z )
  21. (W) Robert Boyle W Peace of Mind Through Integrity and Insight» [[[ Archive Du ] , Być może archiwa Neois, (skonsultuję się z )
  22. (W) [ISSFORUM] ISS Security Brief: Microsoft SQL Slammer Wormpation Propagation » (skonsultuję się z )
  23. (W) X-Force, Spokój ducha poprzez uczciwość i wgląd » [[[ Archive Du ] , Być może archiwa Neois, (skonsultuję się z )

after-content-x4