Virus Hall of Fame: SQL Slammer-virus

Lukuaika: 3 pöytäkirja

Mikä tahansa ikimuistoisten luettelo tietokonevirukset olisi sisällytettävä SQL Slammer-virus, joka vapautettiin vuonna 2003. Muistan sen varmasti. Olin tuolloin UPS IT: n kanssa ja meillä oli useita palvelimia laskeutumassa siitä.

Viruksen nimi on vähän harhaanjohtava, koska se ei sisältänyt SQL: tä, tietokantajärjestelmien strukturoitua kyselykieltä. Se hyödyntää puskurin ylivuotojen ongelmaa Microsoftin SQL Server -tietokantajärjestelmässä. Se ei vain tuottanut tietokantaa, vaan joissain tapauksissa kokonaisia ​​verkkoja.

Virus, itse asiassa mato, oli uskomattoman yksinkertainen. Se tuotti satunnaisia ​​IP-osoitteita ja lähetti sitten itsensä näihin osoitteisiin. Jos SQL Server Resolution Service, jota käytetään usean SQL Server -tapahtuman tukemiseen yhdessä tietokoneessa, isäntä tarttuu. Resolution Services käyttää UDP-porttia, jota käytetään Internet-datagrammien, pienten, nopeasti lähetettävien viestien lähettämiseen. Hyvin nopeasti, koska tämä virus osoittautuu.

Virusta käytettiin tietokantapalvelimen vikaantumiseen kahdella tavalla. Se voi aiheuttaa järjestelmän muistin osien korvaamisen satunnaisilla tiedoilla, jotka kuluttavat koko palvelimen käytettävissä olevan muistin. Se voisi myös suorittaa koodia SQL Server -palvelun suojauskontekstissa, joka voisi vähentää palvelinta.

Kolmas viruksen käyttö oli luoda palvelunesto. Hyökkääjä voi luoda osoitteen niin, että se näytti tulevan yhdestä SQL Server 2000 -järjestelmästä, ja lähetti sen sitten naapurimaiseen SQL Server 2000 -järjestelmään. Tämä loi loputtoman sarjan viestinvaihtosarjaa, joka vie resursseja molemmissa järjestelmissä ja hidastaa suorituskykyä.

Harvat virukset ovat koskaan aiheuttaneet niin paljon hyvin julkisia häiriöitä niin nopeasti. Indianan yliopiston tutkimuksen mukaan viruksesta ja sen vaikutuksesta ”madon pääominaisuus on sen poikkeuksellinen leviämisaste. Arvioidaan, että se saavutti täydellisen maailmanlaajuisen Internet-tartuntonsa kymmenessä minuutissa vapautumisesta. Suurimmassa määrin (saavutettu sunnuntaina 26. tammikuuta) maailmanlaajuisesti tarttui noin 120,000 1 henkilökohtaista tietokonetta ja nämä tietokoneet tuottivat yli XNUMX terabittiä sekunnissa infektioliikennettä.

He arvioivat, että infektion huipussa 15% Internet-isännäistä oli tavoittamaton viruksen takia.

Etelä-Koreassa suurin osa käyttäjistä ei voinut käyttää Internetiä noin 10 tuntia. Se laski Bank of America -automaatit ja aiheutti 911-järjestelmän katkokset Seattlessa. Se laski Akamai-verkon, joka ylläpiti verkkosivustoja korkean profiilin yrityksille, kuten Ticketmaster ja MSNBC. Continental Airlines joutui peruuttamaan lennot lippujärjestelmäänsä liittyvien ongelmien vuoksi.

Hyvä uutinen oli viruksen poisto oli suhteellisen helppo vastata. Se oli helppo tyhjentää muistista ja estää palomuurin vaikutuksen saaneiden porttien avulla. Itse asiassa Microsoft oli julkaissut korjaustiedoston ylivuotohaavoittuvuudesta vuotta aiemmin. Korjaus oli jo ladattavissa.

Mikä johtaa mielenkiintoiseen osaan tarinaa. Viruksen alkuperä tutkijalle David Litchfieldille, joka havaitsi ongelman ja loi ”todistuksen konseptista” -ohjelman. Litchfield esitteli havaintonsa Microsoftin ihmisille, jotka valitettavasti olivat oikeassa hänen kanssaan esitellessään niitä ja todiste konseptista kuuluisassa vuotuisessa Black Hat -konferenssissa. Oletetaan, että tekijät saivat koodin ja konseptin hänen esityksestään.

Kuinka Microsoft voi antaa hänen tehdä niin?

He ilmeisesti pitivät sitä vanhana uutisena. Heillä oli korjaustiedosto ja he työskentelivät kiireisesti seuraavan version, SQL Server 2005, kanssa.

Tapaus tietysti sytytti tulipalon Microsoftin digitaalisen takaosan alla keskittyä SQL Server 2005 -turvallisuuteen. Se toimi, koska mitään SAT-palvelimen kanssa ei ole tapahtunut mitään tällaista etäyhteyttä.

ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI