O worm Sapphire, também chamado Slammer, foi o worm de computador que se espalhou mais rápido da história. O worm começou a infectar host no dia 25 de janeiro de 2003. Assim que começou a se espalhar pela internet, o número de hosts infectados duplicava a cada 8.5 segundos. Ele infectou mais que 90% do host vulneráveis de toda internet em 10 minutos!
 |
| Propagação do Shappire minutos após o início, medido pela Universidade do Wisconsin. |
O worm Shapphire explorou uma vulnerabilidade de buffer overflow em computadores na internet rodando Microsoft SQL Server ou Microsoft SQL Server Desktop Engine (MSDE 2000), ele explorou dois bugs de estouro de na flagship do banco de dados do Microsoft SQL Server. O worm infectou ao menos 75 mil host, talvez mais, e causou quedas de rede e outras consequências inimagináveis, como cancelamento de voos, interferências em eleições, e falhas em caixas eletrônicos.
O que acontece quando esse worm ataca um sistema vulnerável?
De acordo com a Symantec:
- Envia ele próprio para o Serviço de Resolução do SQL Server, que escuta na porta UDP 1434.
- Toma vantagem de uma vulnerabilidade de buffer overflow que permite que uma porção da memória do sistema seja sobrescrita. Quando o worm faz isso, ele roda no mesmo contexto de segurança do serviço do SQL Server.
- Chama a função do API Windows, GetTickCount, e uso o resultado para semear em IPs gerados aleatóriamente.
- Abre um socket no computador infectado e tenta repetidamente envia a si próprio para a porta UDP 1434 no IP que foi gerado usando um origem de porta efêmera. Como o worm não seleciona o host que vai atacar na subrede local, isso resulta em grande quantidade de tráfego.
A propagação do Sapphire proveu o primeiro incidente real demonstrando as capacidades de um worm de alta velocidade. Apesar de o Shappire não conter nenhum conteúdo (payload) malicioso, ele causou um considerável dano simplesmente por sobrecarregar as redes e deixar bancos de dados fora de operação. Muitos sites caíram devido a banda saturada por cópias locais do worm e houve vários relatos de ruptura em backbones de Internet (embora a maioria dos backbones aparentemente permaneceram estáveis durante a epidemia). É importante perceber que se o worm tivesse um payload malicioso, tivesse atacado uma vulnerabilidade mais comum, ou foca-se ne um serviço mais popular, os efeitos teriam sidos mais severos.
Fonte:
http://www.caida.org/publications/papers/2003/sapphire/sapphire.html
https://ethics.csc.ncsu.edu/abuse/wvt/Slammer/study.php
Nenhum comentário:
Postar um comentário