SQL Slammer

Q: ลิงก์ภายนอก

ข่าว ข่าวบีบีซี เทคโนโลยี การโจมตีคล้ายไวรัสส่งผลกระทบต่อปริมาณการใช้งานเว็บไซต์ เวิร์มสร้างความเสียหายอย่างหนักให้กับ MS SQL Server Wired 11.07: โดนจับ!

SQL Slammer
SQL Slammer
รายละเอียดมัลแวร์
พิมพ์	เวิร์มคอมพิวเตอร์
ต้นทาง	2003
รายละเอียดทางเทคนิค
แพลตฟอร์ม	ไมโครซอฟต์ วินโดวส์

alt=ดูคำบรรยายภาพ — SQL Slammer คือเวิร์มคอมพิวเตอร์

SQL Slammer ^{[ a ]}เป็นเวิร์มคอมพิวเตอร์ ในปี 2003 ที่ทำให้เกิดการโจมตีแบบปฏิเสธการให้บริการบน โฮสต์ อินเทอร์เน็ต บางแห่ง และ ทำให้ การรับส่งข้อมูลอินเทอร์เน็ต โดยทั่วไปช้าลงอย่างมาก นอกจากนี้ยังทำให้เราเตอร์ทั่วโลกล่ม ส่งผลให้ความเร็วอินเทอร์เน็ตช้าลงไปอีก มันแพร่กระจายอย่างรวดเร็ว โดยติดเชื้อเหยื่อส่วนใหญ่ 75,000 รายภายใน 10 นาที

โปรแกรมดังกล่าวใช้ประโยชน์จาก ข้อ บกพร่องบัฟเฟอร์โอเวอร์โฟลว์ ใน ผลิตภัณฑ์ฐานข้อมูลSQL ServerและDesktop Engineของ Microsoft แม้ว่าแพตช์ MS02-039 (CVE-2002-0649) ^{[ 2 ]}จะได้รับการเผยแพร่เมื่อหกเดือนก่อนหน้านี้ แต่องค์กรหลายแห่งยังไม่ได้นำไปใช้

รายละเอียดทางเทคนิค

เวิร์มนี้มีพื้นฐานมาจากโค้ดต้นแบบที่David Litchfieldสาธิต ในงาน Black Hat Briefingsซึ่งเป็นผู้ค้นพบช่องโหว่ buffer overflow ที่เวิร์มใช้ประโยชน์ในตอนแรก^[³^]มันเป็นโค้ดชิ้นเล็กๆ ที่ทำอะไรไม่มากไปกว่าการสร้างที่อยู่ IP แบบสุ่มและส่งตัวเองไปยังที่อยู่เหล่านั้น หากที่อยู่ IP ที่เลือกบังเอิญเป็นของโฮสต์ที่กำลังใช้งานMicrosoft SQL Server Resolution Service เวอร์ชันที่ยังไม่ได้แก้ไขและกำลังฟังอยู่ที่พอร์ต UDP 1434 โฮสต์นั้นจะติดเชื้อทันทีและเริ่มแพร่กระจายโปรแกรมเวิร์มไปยังอินเทอร์เน็ตมากขึ้น

โดยทั่วไปแล้ว พีซีที่บ้านจะไม่เสี่ยงต่อเวิร์มนี้ เว้นแต่จะติดตั้ง MSDE ไว้ เวิร์มนี้มีขนาดเล็กมากจนไม่มีโค้ดสำหรับเขียนลงดิสก์ ดังนั้นมันจึงอยู่แค่ในหน่วยความจำ และกำจัดได้ง่าย ตัวอย่างเช่น Symantec มีโปรแกรมกำจัดเวิร์มให้ใช้งานฟรี หรือแม้กระทั่งสามารถกำจัดได้โดยการรีสตาร์ท SQL Server (ถึงแม้ว่าเครื่องอาจจะติดเวิร์มซ้ำทันทีก็ตาม)

เวิร์มนี้เกิดขึ้นได้เนื่องจากช่องโหว่ด้านความปลอดภัย ของซอฟต์แวร์ ใน SQL Server ซึ่ง Microsoft รายงานครั้งแรกเมื่อวันที่ 24 กรกฎาคม พ.ศ. 2545 มีแพทช์จาก Microsoft ให้ใช้งานได้หกเดือนก่อนที่เวิร์มจะแพร่ระบาด แต่การติดตั้งจำนวนมากยังไม่ได้ติดตั้งแพทช์ รวมถึงการติดตั้งจำนวนมากที่ Microsoft เองด้วย^{[ 4 ]}

เริ่มสังเกตเห็นไวรัสตัวนี้ในช่วงแรกเมื่อวันที่ 25 มกราคม พ.ศ. 2546 ^{[ b ]}เนื่องจากมันทำให้ระบบทั่วโลกทำงานช้าลง ความช้าลงนี้เกิดจากการที่เราเตอร์ จำนวนมากทำงานล้มเหลว ภายใต้ภาระของการรับส่งข้อมูลจำนวนมหาศาลจากเซิร์ฟเวอร์ที่ติดไวรัส โดยปกติแล้ว เมื่อปริมาณการรับส่งข้อมูลสูงเกินกว่าที่เราเตอร์จะรับมือได้ เราเตอร์ควรจะหน่วงเวลาหรือหยุดการรับส่งข้อมูลเครือข่ายชั่วคราว แต่เราเตอร์บางตัวกลับล่ม (ใช้งานไม่ได้) และเราเตอร์ "ข้างเคียง" จะสังเกตเห็นว่าเราเตอร์เหล่านี้หยุดทำงานและไม่ควรติดต่อ (หรือที่เรียกว่า "ถูกลบออกจากตารางเส้นทาง ") เราเตอร์เริ่มส่งประกาศแจ้งเตือนในลักษณะนี้ไปยังเราเตอร์อื่นๆ ที่พวกเขารู้จัก การแจ้งเตือนการอัปเดตตารางเส้นทางจำนวนมากทำให้เราเตอร์บางตัวล้มเหลวเพิ่มเติม ซึ่งยิ่งทำให้ปัญหารุนแรงขึ้น ในที่สุด ผู้ดูแลเราเตอร์ที่ล่มก็รีสตาร์ทเราเตอร์เหล่านั้น ทำให้เราเตอร์ประกาศสถานะของตนเอง ซึ่งนำไปสู่การอัปเดตตารางเส้นทางอีกระลอก ในไม่ช้า แบนด์วิดท์อินเทอร์เน็ตส่วนใหญ่ถูกใช้ไปกับการสื่อสารระหว่างเราเตอร์เพื่ออัปเดตตารางการกำหนดเส้นทาง และการรับส่งข้อมูลปกติก็ช้าลงหรือในบางกรณีหยุดชะงักไปเลย เนื่องจากเวิร์ม SQL Slammer มีขนาดเล็กมาก บางครั้งมันจึงสามารถแทรกซึมเข้ามาได้แม้ว่าการรับส่งข้อมูลที่ถูกต้องตามกฎหมายจะไม่สามารถผ่านได้ก็ตาม

ปัจจัยสำคัญสองประการที่ทำให้ SQL Slammer แพร่กระจายอย่างรวดเร็วคือ เวิร์มแพร่เชื้อไปยังโฮสต์ใหม่ผ่าน โปรโตคอล UDP แบบไม่มีเซสชัน และเวิร์มทั้งหมด (เพียง 376 ไบต์) สามารถบรรจุลงในแพ็กเก็ตเดียวได้^[⁹^]^[¹⁰^]โฮสต์ที่ติดเชื้อแต่ละเครื่องจะ "ยิงและลืม" แพ็กเก็ตอย่างรวดเร็วที่สุดเท่าที่จะเป็นไปได้

หมายเหตุ

^ชื่ออื่นๆ ได้แก่ W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32/SQLSlammer และ Helkern^{[ 1 ]}
^การเปิดเผยต่อสาธารณะเริ่มต้นด้วยการที่ Michael Bacarella โพสต์ข้อความไปยัง รายชื่อผู้รับจดหมายด้านความปลอดภัย Bugtraqในหัวข้อ "MS SQL WORM กำลังทำลายพอร์ต 1434 ของอินเทอร์เน็ต!"^{[ 5 ]}เวลา 07:11:41 UTC ในวันที่ 25 มกราคม 2003 รายงานที่คล้ายกันถูกโพสต์โดย Robert Boyle เวลา 08:35 UTC^{[ 6 ]}และ Ben Koshy เวลา 10:28 UTC^{[ 7 ]}การวิเคราะห์เบื้องต้นที่เผยแพร่โดย Symantec มีการประทับเวลา 07:45 GMT^{[ 8 ]}

ลิงก์ภายนอก

ข่าว

ข่าวบีบีซี เทคโนโลยี การโจมตีคล้ายไวรัสส่งผลกระทบต่อปริมาณการใช้งานเว็บไซต์
เวิร์มสร้างความเสียหายอย่างหนักให้กับ MS SQL Server
Wired 11.07: โดนจับ!คำอธิบายแบบง่ายๆ เกี่ยวกับรหัส Slammer

ประกาศ

ประกาศด้านความปลอดภัยของ Microsoft MS02-039 และแพทช์
"คำแนะนำของ CERT CA-2003-04: เวิร์ม MS-SQL Server"สถาบันวิศวกรรมซอฟต์แวร์ มหาวิทยาลัยคาร์เนกีเมลลอนเก็บถาวรจากต้นฉบับเมื่อวันที่ 1 กุมภาพันธ์ 2546 เรียกดูเมื่อวันที่ 22 กันยายน 2562
Symantec Security Response - เวิร์ม W32.SQLExp.

การวิเคราะห์

ภายในเวิร์ม Slammerนิตยสาร IEEE Security and Privacy โดย David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford และ Nicholas Weaver

รายละเอียดทางเทคนิค

โค้ดเวิร์มที่ถอดประกอบแล้วจากWayback Machine (เก็บถาวรเมื่อวันที่ 22 กรกฎาคม 2554)
ช่องโหว่หลายจุดใน Microsoft SQL Server - สถาบันวิศวกรรมซอฟต์แวร์คาร์เนกี-เมลลอน

[2] ชื่ออื่นๆ ได้แก่ W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32/SQLSlammer และ Helkern^{[ 1 ]}

[10] การเปิดเผยต่อสาธารณะเริ่มต้นด้วยการที่ Michael Bacarella โพสต์ข้อความไปยัง รายชื่อผู้รับจดหมายด้านความปลอดภัย Bugtraqในหัวข้อ "MS SQL WORM กำลังทำลายพอร์ต 1434 ของอินเทอร์เน็ต!"^{[ 5 ]}เวลา 07:11:41 UTC ในวันที่ 25 มกราคม 2003 รายงานที่คล้ายกันถูกโพสต์โดย Robert Boyle เวลา 08:35 UTC^{[ 6 ]}และ Ben Koshy เวลา 10:28 UTC^{[ 7 ]}การวิเคราะห์เบื้องต้นที่เผยแพร่โดย Symantec มีการประทับเวลา 07:45 GMT^{[ 8 ]}

[ a ]

[ 2 ]

[

[ 4 ]

[ b ]

[

[

[ 1 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

SQL Slammer

รายละเอียดทางเทคนิค

หมายเหตุ

ลิงก์ภายนอก

ข้อมูลสำคัญจากบทความ