Antivírus blog

vírusok, férgek, botnetek, kártevők

Múltidéző - Az SQL Slammer margójára

2016. október 05. 12:39 - Csizmazia Darab István [Rambo]

Még 2003. januárjából sokan emlékezhetnek az SQL.Slammer féregre. Sok szempontból totális újdonságnak számított, és akkoriban a viszonylag gyorsan körbefutó "világjárványok" nem számítottak éppen ritkaságnak: a Nimda, a Morris worm, Code Red vagy a Blaster. Tanulságokból pedig a történet minden egyes szereplőjének kijutott, és ezek máig is hatnak. Mi most ebből a négy legfontosabbat emeljük ki.

Akik 2003-ban valamilyen nagyvállalatnál dolgoztak, azok közül sokak unalmas januárját az SQL.Slammer "dobta fel", hiszen akik korábban úgy könyvelték el, hogy csak futtatható állományokban vagy boot szektorban lehetnek vírusproblémák, most nagyot csalódhattak.

A Microsoft SQL szervereket támadó Slammer (vagy más néven Zaphire) féreg a nem frissített rendszerekben található biztonsági rést használta ki, és egy elemző cég későbbi jelentése szerint a megfertőződött SQL-szerverek 90 százaléka már a járvány első tíz percében áldozatul esett.

Az SQL Slammer egy olyan számítógépes féreg volt, amely a Microsoft SQL Server 2000 egy befoltozatlan hibáját kihasználva puffertúlcsordulást okozott az adatbázisokban. A kártevő villámgyorsan terjedt tovább, és jelentős hálózati zavarok, leállásokat okozott az interneten.

A Slammernek már az első félórában 75 ezer számítógépet sikerült megfertőznie, becslések szerint legalább 205 ezer gépre kerülhetett rá, és összességében pedig több mint 1 milliárd USD kárt okozott.

Tanulság 1.
A vírusvédelem naprakész frissítése kulcsfontosságú volt már előzőleg is, de az antivírus gyártók által kibocsátott vírusismereti adatbázisok egyre sűrűbb és rövid reakcióidőkkel történő kiadása is az ilyen incidensek hatására javult jelentősen. Külön érdekesség volt, hogy a lemezen nem keletkezett kártékony kód, hanem az kizárólag a gép memóriában volt jelen.

Tanulság 2.
Sokakban akkoriban még nem tudatosult eléggé, hogy emellett a biztonsági frissítések futtatása mennyire fontos. Bár a Microsoft a sebezhetőség bejelentésére reagálva még 2002-ben kiadott egy javítócsomagot, amit azonban sokan mégsem telepítettek.  

Tanulság 3.
Nagyjából ebben az időben kezdett elterjedni az a trend is, hogy a fertőzés okozta leállás, illetve a mentesítés költségeit számszerűsítették, és később rendszeresen megjelentek különféle számok az egyes kártevők által okozott becsült károkról, valamint a mentesítések, újratelepítések okozta költségekről.

Tanulság 4.
Utólag bebizonyosodott, hogy az SQL hiba felfedezője, David Litchfield biztonsági kutató a Black Hat konferencián előadva óvatlanul nyilvánosságra hozta az ezzel kapcsolatos puffertúlcsordulást kihasználó demonstrációs kód részletét, és ebből keletkezett aztán az emlegetett, mindössze 376 bájt hosszúságú kártékony Slammer kód.

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr5611770973

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.10.05. 15:27:52

Tanulság 2: ezzel egy baj van. Amikor még dolgoztam, akkor a telepítések (függetlenül attól, hogy biztonsági update vagy egyéb) csak akkor mehettek, ha előtte alaposan tesztelte minden érintett. Ez azt jelenti, hogy a legtöbb ilyen minimum egy hét késéssel kerülhetett csak ki. :(
És valahányszor kritikus biztonsági update-et láttam, mindig volt okom aggódni, hogy nehogy a telepítése előtt próbálja valaki kihasználni.

khell 2016.10.06. 13:04:47

Tanulság 5: nagyon-nagyon ritka, hogy arra legyen szükség, hogy egy adatbázisszerver a teljes internet felé publikálva legyen, főleg nem a default portján.