SQL 슬래머

SQL Slammer

SQL[a] Slammer는 2003년 발생한 컴퓨터 웜으로 일부 인터넷 호스트에서 서비스 거부를 유발하고 일반적인 인터넷 트래픽을 현저하게 저하시킵니다.그것은 빠르게 퍼졌고, 10분 만에 75,000명의 희생자들을 감염시켰다.

이 프로그램은 Microsoft SQL Server 및 Desktop Engine 데이터베이스 제품의 버퍼 오버플로 버그를 이용했습니다.MS02-039 패치는 6개월 전에 출시되었지만 많은 조직이 아직 패치를 적용하지 않았습니다.

기술적 세부사항

이 웜은 처음에 웜이 [2]악용한 버퍼 오버플로 취약성을 발견한 David Litchfield에 의해 Black Hat Briefings에서 시연된 개념 증명 코드를 기반으로 합니다.이것은 랜덤 IP 주소를 생성하여 그 주소로 송신하는 것 외에 거의 기능하지 않는 작은 코드 조각입니다.선택한 주소가 UDP 포트 1434에서 수신 중인 Microsoft SQL Server Resolution Service의 패치되지 않은 복사본을 실행하는 호스트에 속할 경우 호스트는 즉시 감염되어 더 많은 웜 프로그램 복사본을 사용하여 인터넷에 분무하기 시작합니다.

일반적으로 가정용 PC는 MSDE가 설치되어 있지 않은 한 이 웜에 취약하지 않습니다.이 웜은 크기가 너무 작기 때문에 디스크에 쓰는 코드가 없기 때문에 메모리에만 남아 있어 제거가 용이합니다.예를 들어 Symantec은 무료로 제거 유틸리티를 제공합니다.또한 SQL Server를 재부팅하여 제거할 수도 있습니다(단, 머신은 즉시 재감염됩니다).

이 웜은 2002년 7월 24일 Microsoft에 의해 처음 보고된 SQL Server의 소프트웨어 보안 취약성에 의해 가능했습니다.이 웜이 출시되기 전 6개월 동안 Microsoft에서 패치를 제공했지만 Microsoft를 [3]포함한 많은 설치는 패치를 적용하지 않았습니다.

이 웜은 2003년[b] 1월 25일 전 세계 시스템의 속도를 늦추면서 발견되기 시작했다.이 속도 저하는 감염된 서버로부터의 폭주 트래픽의 부하가 매우 높아 다수의 라우터가 붕괴되었기 때문입니다.통상, 트래픽이 너무 많아 라우터가 처리할 수 없는 경우, 라우터는 네트워크트래픽을 지연 또는 일시적으로 정지합니다.대신 일부 라우터가 크래시(사용 불능이 됨)하여 '네이버' 라우터는 이들 라우터가 정지되어 접속할 필요가 없음을 인식합니다('라우팅 테이블에서 삭제').라우터는, 이 취지의 통지를 기존의 다른 라우터에 송신하기 시작했습니다.라우팅 테이블 업데이트 알림의 플래드로 인해 일부 추가 라우터에 장애가 발생하여 문제가 복잡해졌습니다.결국 크래시된 라우터의 유지보수가 라우터를 재시작하여 라우터의 상태를 알리게 되고 라우팅 테이블 갱신이 다시 한 번 반복되었습니다.곧 인터넷 대역폭의 상당 부분이 라우터 간에 통신하여 라우팅 테이블을 갱신함으로써 소비되었습니다.일반 데이터 트래픽은 느려지거나 경우에 따라서는 완전히 정지됩니다.SQL Slammer 웜은 크기가 너무 작았기 때문에 정규 트래픽이 아닌 경우에도 통과할 수 있었습니다.

SQL Slammer의 신속한 확산에는 두 가지 중요한 측면이 있었습니다. 웜은 세션리스 UDP 프로토콜을 통해 새로운 호스트를 감염시켜 전체 웜(376바이트)이 단일 [8][9]패킷에 들어갑니다.그 결과, 감염된 각 호스트는, 패킷을 가능한 한 신속히 「발신해 잊어버릴」 수 있습니다.

메모들

  1. ^ 다른 이름으로는 W32가 있습니다.SQLExp.Worm, DDOSSQLP1434.A, Sampire Worm, SQL_HEL, W32/SQLSlammer 및 Helkern.[1]
  2. ^ 공개는 2003년 1월 25일 07:11:41 UTC에 Michael Bacarella가 Bugtraq 보안 메일링 리스트에 "MS SQL WORM IS DESTARYING INTERNET BLOCK PORT 1434!"[4]라는 제목의 메시지를 게시하면서 시작되었습니다.비슷한 보고서가 UTC 08:35에[5] Robert Boyle과[6] UTC 10:28에 Ben Koshy에 의해 게시되었습니다.Symantec이 발표한 초기 분석에는 GMT [7]07:45에 타임스탬프가 찍혀 있습니다.

레퍼런스

  1. ^ "Symantec W32.SQLExp.Worm".
  2. ^ Leyden, John (6 February 2003). "Slammer: Why security benefits from proof of concept code". Register. Retrieved 29 November 2008.
  3. ^ "Microsoft Attacked By Worm, Too". Wired.
  4. ^ Bacarella, Michael (25 January 2003). "MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434!". Bugtraq. Retrieved 29 November 2012.
  5. ^ Boyle, Robert (25 January 2003). "Peace of Mind Through Integrity and Insight". Neohapsis Archives. Archived from the original on 19 February 2009. Retrieved 29 November 2008.
  6. ^ Koshy, Ben (25 January 2003). "Peace of Mind Through Integrity and Insight". Neohapsis Archives. Archived from the original on 19 February 2009. Retrieved 29 November 2008.
  7. ^ "SQLExp SQL Server Worm Analysis" (PDF). DeepSight™ Threat Management System Threat Analysis. 28 January 2003.
  8. ^ Moore, David et al. "The Spread of the Sapphire/Slammer Worm". CAIDA (Cooperative Association for Internet Data Analysis).{{cite web}}: CS1 maint: 작성자 파라미터 사용(링크)
  9. ^ Serazzi, Giuseppe; Zanero, Stefano (2004). "Computer Virus Propagation Models" (PDF). In Calzarossa, Maria Carla; Gelenbe, Erol (eds.). Performance Tools and Applications to Networked Systems. Lecture Notes in Computer Science. Vol. 2965. pp. 26–50.

외부 링크

뉴스
알리다
분석.
  • Slammer Worm IEEE Security and Privacy Magazine, David Moore, Vern Paxson, Stefan Savage, Collen Shannon, Stuart Staniford 및 Nicholas Weaver의 인사이드
기술적 세부사항