Virus Hall of Fame: SQL Slammer Virus

Lesetid: 3 minutter

Enhver liste over minneverdige datavirus måtte inkludere SQL Slammer-viruset, sluppet løs i 2003. Jeg husker det absolutt. Jeg var med UPS IT på den tiden, og vi hadde flere servere som gikk ned fra den.

Virusnavnet er litt misvisende fordi det ikke involverte SQL, Structured Query Language for databasesystemer. Det utnyttet et problem med bufferoverløp i Microsofts SQL Server-databasesystem. Det kunne ikke bare bringe databasen ned, men i noen tilfeller hele nettverk.

Viruset, faktisk en orm, var bemerkelsesverdig enkelt. Den genererte tilfeldige IP-adresser og sendte seg selv til disse adressene. Hvis SQL Server Resolution Service, som brukes til å støtte flere forekomster av SQL Server på en datamaskin, blir verten infisert. Resolution Services driver en UDP-port som brukes til å sende datagrammer på Internett, små meldinger som kan sendes raskt. Veldig raskt som dette viruset ville bevise.

Viruset ble brukt til å få databaseserveren til å mislykkes på en av to måter. Det kan føre til at deler av systemminnet blir overskrevet med tilfeldige data som vil forbruke alt serverens tilgjengelige minne. Det kan også kjøre kode i sikkerhetskonteksten til SQL Server-tjenesten som kan bringe serveren ned.

En tredje bruk av viruset var å skape en ”Denial of Service”. En angriper kunne opprette adresse slik at den så ut til å komme fra ett SQL Server 2000-system, og deretter sendte den til et nærliggende SQL Server 2000-system. Dette skapte en uendelig serie med meldingsutveksling, .forbruker ressurser på begge systemene og reduserer ytelsen.

Få virus har noensinne forårsaket så mye veldig offentlig forstyrrelse så raskt. I følge en studie fra University of Indiana om viruset og dets innvirkning: "Den primære egenskapen til ormen er dens ekstraordinære forplantningshastighet. Det anslås at det nådde sitt fulle nivå av global internettinfeksjon innen ti minutter etter utgivelsen. På sitt maksimum (nådd søndag 26. januar) ble omtrent 120,000 1 individuelle datamaskiner over hele verden infisert, og disse datamaskinene genererte samlet over XNUMX terabit / sekund av infeksjonstrafikk ”.

De anslår at 15% av Internett-vertene ved maksimal infeksjon var utilgjengelige på grunn av viruset.

I Sør-Korea kunne de fleste brukere ikke få tilgang til Internett på omtrent 10 timer. Det brakte minibanker fra Bank of America og forårsaket avbrudd i 911-systemet i Seattle. Det brakte ned nettverket til Akamai, som drev nettstedene for høyt profilerte selskaper som Ticketmaster og MSNBC. Continental Airlines måtte avbryte flyreiser på grunn av problemer med billettsystemet.

Den gode nyheten var virusfjerning var relativt lett å svare på. Det var lett å fjerne fra minnet og forhindre ved å brannmur de berørte portene. Faktisk hadde Microsoft gitt ut en oppdatering for sårbarhet overløp et år tidligere. En løsning var allerede tilgjengelig for nedlasting.

Noe som fører til en interessant del av denne historien. Opphavet til viruset til David Litchfield, en forsker, som identifiserte problemet og opprettet et "proof of concept" -program. Litchfield presenterte sine funn for folk på Microsoft som dessverre var ok med at han presenterte dem og beviset på konseptet på den berømte årlige Black Hat-konferansen. Det antas at skaperne fikk koden og konseptet fra presentasjonen hans.

Hvordan kunne Microsoft tillate ham å gjøre det?

De tenkte tilsynelatende på det som gamle nyheter. De hadde oppdateringen og var opptatt med å jobbe med neste versjon, SQL Server 2005.

Selvfølgelig tente hendelsen en brann under Microsofts digitale bakenden for å fokusere på sikkerhet for SQL Server 2005. Det fungerte fordi ingenting eksternt som dette har skjedd med SQL Server siden.

START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS