읽기 시간 : 3 분
기억에 남는 목록 컴퓨터 바이러스 2003년에 공개된 SQL Slammer 바이러스를 포함해야 합니다. 확실히 기억합니다. 당시 저는 UPS IT에 있었고 여러 서버가 다운되었습니다.
바이러스 이름은 데이터베이스 시스템용 구조적 쿼리 언어인 SQL을 포함하지 않았기 때문에 약간 오해의 소지가 있습니다. Microsoft의 SQL Server 데이터베이스 시스템에서 버퍼 오버플로 문제를 악용했습니다. 데이터베이스뿐만 아니라 경우에 따라 전체 네트워크를 중단시킬 수도 있습니다.
실제로 웜인 이 바이러스는 놀라울 정도로 단순했습니다. 임의의 IP 주소를 생성한 다음 해당 주소로 전송했습니다. 단일 컴퓨터에서 여러 SQL Server 인스턴스를 지원하는 데 사용되는 SQL Server Resolution Service가 호스트에 감염되면 호스트가 감염됩니다. Resolution Services는 인터넷 데이터그램, 즉 빠르게 보낼 수 있는 작은 메시지를 보내는 데 사용되는 UDP 포트를 운영합니다. 이 바이러스가 증명하듯이 매우 빠르게.
이 바이러스는 데이터베이스 서버가 두 가지 방법 중 하나로 실패하도록 하는 데 사용되었습니다. 서버의 사용 가능한 모든 메모리를 소모하는 임의의 데이터로 시스템 메모리의 일부를 덮어쓸 수 있습니다. 또한 서버를 다운시킬 수 있는 SQL Server 서비스의 보안 컨텍스트에서 코드를 실행할 수도 있습니다.
바이러스의 세 번째 용도는 "서비스 거부"를 만드는 것이었습니다. 공격자는 한 SQL Server 2000 시스템에서 온 것처럼 보이는 주소를 만든 다음 인접 SQL Server 2000 시스템으로 보낼 수 있습니다. 이로 인해 끝없는 일련의 메시지 교환이 발생하여 두 시스템 모두에서 리소스를 소비하고 성능이 저하되었습니다.
이렇게 빠르게 대중의 혼란을 야기한 바이러스는 거의 없습니다. 인디애나 대학의 바이러스 및 그 영향 연구에 따르면 "웜의 주요 특징은 놀라운 전파 속도입니다. 출시 26분 만에 글로벌 인터넷 감염 수준에 도달한 것으로 추정된다. 최대(120,000월 1일 일요일에 도달) 전 세계적으로 약 XNUMX개의 개별 컴퓨터가 감염되었으며 이러한 컴퓨터는 총 XNUMX테라비트/초 이상의 감염 트래픽을 생성했습니다.
그들은 감염이 최고조에 달했을 때 인터넷 호스트의 15%가 바이러스로 인해 연결할 수 없는 것으로 추정했습니다.
한국에서는 대부분의 사용자가 약 10시간 동안 인터넷에 액세스할 수 없었습니다. 그것은 Bank of America ATM을 중단시키고 시애틀의 911 시스템을 중단시켰습니다. 이는 Ticketmaster 및 MSNBC와 같은 유명 회사의 웹 사이트를 운영하는 Akamai의 네트워크를 무너뜨렸습니다. Continental Airlines는 발권 시스템 문제로 인해 항공편을 취소해야 했습니다.
좋은 소식은 바이러스 제거 비교적 쉽게 대응할 수 있었습니다. 메모리에서 지우고 영향을 받는 포트를 방화벽으로 방지하는 것은 쉬웠습니다. 실제로 Microsoft는 XNUMX년 전에 오버플로 취약점에 대한 패치를 릴리스했습니다. 수정 프로그램을 이미 다운로드할 수 있습니다.
이것은 이 이야기의 흥미로운 부분으로 이어집니다. 바이러스의 기원은 문제를 식별하고 "개념 증명" 프로그램을 만든 연구원 David Litchfield입니다. Litchfield는 불행하게도 그와 함께 유명한 연례 Black Hat 컨퍼런스에서 개념 증명을 발표하는 데 동의한 Microsoft의 사람들에게 자신의 연구 결과를 발표했습니다. 제작자는 그의 프레젠테이션에서 코드와 개념을 얻었을 것으로 추정됩니다.
마이크로소프트가 어떻게 그가 그렇게 하도록 허용할 수 있었을까?
그들은 분명히 그것을 오래된 뉴스로 생각했습니다. 그들은 패치를 가지고 있었고 다음 버전인 SQL Server 2005를 작업하느라 바빴습니다.
물론 이 사건은 SQL Server 2005의 보안에 집중하기 위해 Microsoft의 디지털 후면에 불을 지폈습니다. 그 이후로 SQL Server에서 이와 같은 원격 작업이 없었기 때문에 성공했습니다.
