หอเกียรติยศไวรัส: SQL Slammer Virus

เวลาอ่านหนังสือ: 3 นาที

รายการที่น่าจดจำ ไวรัสคอมพิวเตอร์ จะต้องรวมไวรัส SQL Slammer ที่ปล่อยออกมาในปี 2003 ฉันจำได้แน่นอน ตอนนั้นฉันทำงานกับ UPS IT และเรามีเซิร์ฟเวอร์หลายเครื่องที่หยุดทำงาน

ชื่อไวรัสทำให้เข้าใจผิดเล็กน้อยเนื่องจากไม่เกี่ยวข้องกับ SQL ซึ่งเป็น Structured Query Language สำหรับระบบฐานข้อมูล ใช้ประโยชน์จากปัญหาบัฟเฟอร์ล้นในระบบฐานข้อมูล SQL Server ของ Microsoft มันไม่เพียงแต่ทำให้ฐานข้อมูลลดลงเท่านั้น แต่ในบางกรณีอาจรวมถึงเครือข่ายทั้งหมดด้วย

ไวรัสที่จริงแล้วเป็นเวิร์มนั้นง่ายอย่างน่าทึ่ง มันสร้างที่อยู่ IP แบบสุ่มแล้วส่งตัวเองไปยังที่อยู่เหล่านั้น ถ้า SQL Server Resolution Service ถูกใช้เพื่อรองรับหลายอินสแตนซ์ของ SQL Server บนคอมพิวเตอร์เครื่องเดียว โฮสต์จะติดไวรัส บริการความละเอียดดำเนินการพอร์ต UDP ที่ใช้ในการส่งอินเทอร์เน็ตดาตาแกรม ข้อความขนาดเล็กที่สามารถส่งได้อย่างรวดเร็ว เร็วมากอย่างที่ไวรัสนี้จะพิสูจน์

ไวรัสถูกใช้เพื่อทำให้เซิร์ฟเวอร์ฐานข้อมูลล้มเหลวด้วยวิธีใดวิธีหนึ่งจากสองวิธี อาจทำให้บางส่วนของหน่วยความจำระบบถูกเขียนทับด้วยข้อมูลสุ่มที่จะใช้หน่วยความจำที่มีอยู่ทั้งหมดของเซิร์ฟเวอร์ นอกจากนี้ยังสามารถเรียกใช้โค้ดในบริบทความปลอดภัยของบริการ SQL Server ที่อาจทำให้เซิร์ฟเวอร์ล่มได้

การใช้ไวรัสครั้งที่สามคือการสร้าง "การปฏิเสธบริการ" ผู้โจมตีสามารถสร้างที่อยู่ที่ดูเหมือนว่าจะมาจากระบบ SQL Server 2000 หนึ่งระบบ แล้วส่งไปยังระบบ SQL Server 2000 ที่อยู่ใกล้เคียง สิ่งนี้สร้างชุดการแลกเปลี่ยนข้อความที่ไม่มีวันสิ้นสุด . การใช้ทรัพยากรบนทั้งสองระบบและประสิทธิภาพการทำงานที่ช้าลง

มีไวรัสเพียงไม่กี่ตัวที่ก่อให้เกิดการหยุดชะงักในที่สาธารณะอย่างรวดเร็ว จากการศึกษาของมหาวิทยาลัยอินเดียน่าเกี่ยวกับไวรัสและผลกระทบของไวรัส “ลักษณะสำคัญของเวิร์มคืออัตราการแพร่พันธุ์ที่ไม่ธรรมดา คาดว่ามีการติดเชื้ออินเทอร์เน็ตทั่วโลกถึงระดับเต็มภายในสิบนาทีหลังจากเผยแพร่ สูงสุด (ถึงวันอาทิตย์ที่ 26 มกราคม) คอมพิวเตอร์ประมาณ 120,000 เครื่องทั่วโลกติดไวรัส และคอมพิวเตอร์เหล่านั้นสร้างปริมาณการติดไวรัสรวมกันมากกว่า 1 เทราบิต/วินาที”

พวกเขาประเมินว่าเมื่อมีการติดเชื้อสูงสุด 15% ของโฮสต์อินเทอร์เน็ตไม่สามารถเข้าถึงได้เนื่องจากไวรัส

ในเกาหลีใต้ ผู้ใช้ส่วนใหญ่ไม่สามารถเข้าถึงอินเทอร์เน็ตได้ประมาณ 10 ชั่วโมง มันทำให้ตู้เอทีเอ็มของ Bank of America ล่มและทำให้ระบบ 911 ในซีแอตเทิลขัดข้อง มันทำลายเครือข่ายของ Akamai ผู้ดูแลเว็บไซต์ให้กับบริษัทที่มีชื่อเสียงอย่าง Ticketmaster และ MSNBC คอนติเนนทอลแอร์ไลน์ต้องยกเลิกเที่ยวบินเนื่องจากปัญหากับระบบตั๋ว

ข่าวดีก็คือ กำจัดไวรัส ค่อนข้างง่ายต่อการตอบสนอง ง่ายต่อการล้างจากหน่วยความจำและป้องกันโดยไฟร์วอลล์พอร์ตที่ได้รับผลกระทบ อันที่จริง Microsoft ได้ออกแพตช์สำหรับช่องโหว่โอเวอร์โฟลว์เมื่อปีที่แล้ว มีการแก้ไขให้ดาวน์โหลดแล้ว

ซึ่งนำไปสู่ส่วนที่น่าสนใจของเรื่องนี้ ต้นกำเนิดของไวรัสคือ David Litchfield นักวิจัย ผู้ระบุปัญหาและสร้างโปรแกรม "การพิสูจน์แนวคิด" Litchfield นำเสนอข้อค้นพบของเขาแก่ทีมงานที่ Microsoft ซึ่งโชคไม่ดีที่เขายินดีนำเสนอและพิสูจน์แนวคิดในการประชุม Black Hat ประจำปีที่มีชื่อเสียง สันนิษฐานว่าผู้สร้างได้รับรหัสและแนวคิดจากการนำเสนอของเขา

Microsoft จะยอมให้เขาทำอย่างนั้นได้อย่างไร?

เห็นได้ชัดว่าพวกเขาคิดว่ามันเป็นข่าวเก่า พวกเขามีโปรแกรมแก้ไขและกำลังยุ่งอยู่กับการทำงานกับเวอร์ชันถัดไปคือ SQL Server 2005

แน่นอน เหตุการณ์ดังกล่าวจุดไฟภายใต้ส่วนหลังของระบบดิจิทัลของ Microsoft เพื่อมุ่งเน้นไปที่การรักษาความปลอดภัยสำหรับ SQL Server 2005 วิธีนี้ใช้ได้ผลเพราะไม่มีสิ่งใดเกิดขึ้นจากระยะไกลเช่นนี้กับ SQL Server ตั้งแต่นั้นเป็นต้นมา

เริ่มทดลองใช้ฟรี รับคะแนนความปลอดภัยทันทีของคุณฟรี