SQL سلامر

SQL Slammer هو فيروس حاسوبي ظهر عام 2003، وتسبب في تعطيل الخدمة على بعض خوادم الإنترنت، وأدى إلى تباطؤ كبير في حركة مرور الإنترنت بشكل عام . كما تسبب في تعطل أجهزة التوجيه (الراوتر) حول العالم، مما زاد من التباطؤ. انتشر الفيروس بسرعة، وأصاب معظم ضحاياه البالغ عددهم 75,000 ضحية في غضون 10 دقائق.
استغل البرنامج ثغرة تجاوز سعة المخزن المؤقت في منتجات قواعد بيانات مايكروسوفت SQL Server و Desktop Engine . على الرغم من إصدار التصحيح MS02-039 (CVE-2002-0649) [ 2 ] قبل ستة أشهر، إلا أن العديد من المؤسسات لم تُطبّقه بعد.
التفاصيل الفنية
استندت هذه الدودة إلى نموذج أولي عرضه ديفيد ليتشفيلد في مؤتمر بلاك هات ، والذي كان أول من اكتشف ثغرة تجاوز سعة المخزن المؤقت التي استغلتها الدودة. [ 3 ] وهي عبارة عن جزء صغير من التعليمات البرمجية لا يقوم إلا بتوليد عناوين IP عشوائية وإرسال نفسها إلى تلك العناوين. إذا كان أحد العناوين المختارة تابعًا لجهاز مضيف يُشغّل نسخة غير مُحدّثة من خدمة تحليل خادم SQL من مايكروسوفت، والتي تستمع على منفذ UDP رقم 1434، فإن الجهاز يُصاب فورًا ويبدأ بنشر المزيد من نسخ برنامج الدودة على الإنترنت.
لا تُعدّ أجهزة الكمبيوتر المنزلية عرضةً لهذا الفيروس عادةً إلا إذا كان مثبتًا عليها برنامج MSDE. الفيروس صغير جدًا لدرجة أنه لا يحتوي على أي تعليمات برمجية للكتابة على القرص، لذا يبقى في الذاكرة فقط، ويسهل إزالته. على سبيل المثال، توفر شركة Symantec أداة إزالة مجانية، أو يمكن إزالته حتى بإعادة تشغيل خادم SQL (مع العلم أن الجهاز قد يُصاب به مجددًا فورًا).
تم إطلاق الدودة بسبب ثغرة أمنية في برنامج SQL Server تم الإبلاغ عنها لأول مرة من قبل مايكروسوفت في 24 يوليو 2002. كان التحديث متاحًا من مايكروسوفت لمدة ستة أشهر قبل إطلاق الدودة، ولكن العديد من عمليات التثبيت لم يتم تحديثها - بما في ذلك العديد من عمليات التثبيت داخل مايكروسوفت. [ 4 ]
بدأ رصد الفيروس في وقت مبكر من يوم 25 يناير 2003 [ ب ] ، حيث تسبب في تباطؤ الأنظمة في جميع أنحاء العالم. كان سبب هذا التباطؤ هو انهيار العديد من أجهزة التوجيه تحت وطأة حركة مرور كثيفة للغاية من الخوادم المصابة. في الوضع الطبيعي، عندما تتجاوز حركة المرور قدرة أجهزة التوجيه على التعامل معها، يُفترض أن تقوم هذه الأجهزة بتأخير أو إيقاف حركة مرور الشبكة مؤقتًا. ولكن، تعطلت بعض أجهزة التوجيه (أصبحت غير قابلة للاستخدام)، ولاحظت أجهزة التوجيه المجاورة توقف هذه الأجهزة وعدم إمكانية الاتصال بها (أي "إزالتها من جدول التوجيه "). بدأت أجهزة التوجيه بإرسال إشعارات بهذا الشأن إلى أجهزة التوجيه الأخرى التي تعرفها. تسبب سيل إشعارات تحديث جدول التوجيه في تعطل بعض أجهزة التوجيه الإضافية، مما فاقم المشكلة. في النهاية، أعاد القائمون على صيانة أجهزة التوجيه المعطلة تشغيلها، مما دفعها إلى الإعلان عن حالتها، وأدى إلى موجة أخرى من تحديثات جدول التوجيه. سرعان ما استهلكت أجهزة التوجيه جزءًا كبيرًا من عرض النطاق الترددي للإنترنت في اتصالاتها المتبادلة لتحديث جداول التوجيه، مما أدى إلى تباطؤ حركة البيانات العادية أو توقفها تمامًا في بعض الحالات. ولأن دودة SQL Slammer كانت صغيرة الحجم، فقد تمكنت أحيانًا من اختراق النظام حتى في الحالات التي لم تتمكن فيها حركة البيانات المشروعة من ذلك.
ساهم جانبان رئيسيان في الانتشار السريع لفيروس SQL Slammer. فقد أصاب الفيروس أجهزة جديدة عبر بروتوكول UDP غير المعتمد على الجلسات ، كما أن حجم الفيروس بأكمله (376 بايت فقط) كان يُعبأ في حزمة بيانات واحدة. [ 9 ] [ 10 ] وكان كل جهاز مصاب يُرسل حزم البيانات دون متابعة، وبأسرع ما يمكن.
ملحوظات
- ↑ تشمل الأسماء الأخرى W32.SQLExp.Worm وDDOS.SQLP1434.A وSapphire Worm وSQL_HEL وW32/SQLSlammer وHelkern. [ 1 ]
- بدأ الكشف العلني عن الثغرة عندما نشر مايكل باكاريلا رسالةً على القائمة البريدية الأمنية لـ Bugtraq بعنوان "دودة MS SQL تدمر الإنترنت، تحجب المنفذ 1434!" [ 5 ] في تمام الساعة 07:11:41 بالتوقيت العالمي المنسق (UTC) يوم 25 يناير 2003. ونُشرت تقارير مماثلة من قِبل روبرت بويل في تمام الساعة 08:35 بالتوقيت العالمي المنسق (UTC) [ 6 ] وبن كوشي في تمام الساعة 10:28 بالتوقيت العالمي المنسق (UTC) [ 7 ]. ويحمل تحليل مبكر نشرته شركة سيمانتك طابعًا زمنيًا في تمام الساعة 07:45 بتوقيت غرينتش (GMT). [ 8 ]
مراجع
- ↑ "Symantec W32.SQLExp.Worm" . مؤرشف من الأصل في 10 نوفمبر 2006.
- ↑ "CVE - CVE-2002-0649" . cve.mitre.org . تم الاطلاع عليه بتاريخ 7 سبتمبر 2023 .
- ↑Leyden, John (6 February 2003). "Slammer: Why security benefits from proof of concept code". Register. Retrieved 29 November 2008.
- ↑"Microsoft Attacked By Worm, Too". Wired.
- ↑Bacarella, Michael (25 January 2003). "MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434!". Bugtraq. Retrieved 29 November 2012.
- ↑Boyle, Robert (25 January 2003). "Peace of Mind Through Integrity and Insight". Neohapsis Archives. Archived from the original on 19 February 2009. Retrieved 29 November 2008.
- ↑Koshy, Ben (25 January 2003). "Peace of Mind Through Integrity and Insight". Neohapsis Archives. Archived from the original on 19 February 2009. Retrieved 29 November 2008.
- ↑"SQLExp SQL Server Worm Analysis"(PDF). DeepSight™ Threat Management System Threat Analysis. 28 January 2003. Archived from the original(PDF) on 7 March 2003.
- ↑Moore, David; et al. "The Spread of the Sapphire/Slammer Worm". CAIDA (Cooperative Association for Internet Data Analysis).
- ↑Serazzi, Giuseppe; Zanero, Stefano (2004). "Computer Virus Propagation Models"(PDF). In Calzarossa, Maria Carla; Gelenbe, Erol (eds.). Performance Tools and Applications to Networked Systems. Lecture Notes in Computer Science. Vol. 2965. pp. 26–50.
External links
- News
- BBC NEWS Technology Virus-like attack hits web traffic
- MS SQL Server Worm Wreaking Havoc
- Wired 11.07: Slammed! A layman's explanation of the Slammer code.
- Announcement
- Microsoft Security Bulletin MS02-039 and Patch
- "CERT Advisory CA-2003-04: MS-SQL Server Worm". Carnegie Mellon University Software Engineering Institute. Archived from the original on 1 February 2003. Retrieved 22 September 2019.
- Symantec Security Response - W32.SQLExp.Worm
- Analysis
- Inside the Slammer Worm IEEE Security and Privacy Magazine, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford, and Nicholas Weaver
- Technical details
- Worm code disassembled at the Wayback Machine(archived 22 July 2011)
- Multiple Vulnerabilities in Microsoft SQL Server - Carnegie-Mellon Software Engineering Institute
- هجمات حجب الخدمة
- الديدان القائمة على الاستغلال
- العقد الأول من القرن الحادي والعشرين في مجال القرصنة
- الجرائم الإلكترونية في الهند
