Slammer nie żyje!

Data publikacji: 23/03/2011, TomaszG.

Wygląda na to, że w czwartek 10. marca 2011 roku pożegnaliśmy (oby na zawsze!) obecnego w Internecie od 2003 roku uciążliwego robaka SQL Slammer. Ruch sieciowy będący efektem jego działania przestał być widziany przez sondy systemu ARAKIS. Wcześniej nieprzerwanie należał on do ścisłej czołówki zagrożeń rejestrowanych przez system od początku istnienia ARAKIS-a. Nagłe i niespodziewane zniknięcie robaka zostało także odnotowane przez zagraniczne serwisy, m.in. ISC SANS.
Przypomnienie, co to jest robak SQL Slammer (cytat z naszego newsa pt. „20. rocznica robaka internetowego – czas na podsumowania i wnioski (cz.1)” z 5 listopada 2008):

W roku 2003 wybuchła epidemia robaka Slammer, który wykorzystywał podatność w serwerze bazodanowym MS SQL. Rozprzestrzeniał się bez jakiejkolwiek interakcji użytkownika poprzez pakiety UDP, a cały jego kod zajmował tylko 376 bajtów. Dzięki specyfikacji komunikacji UDP (brak nawiązania połączenia i weryfikacji przesłanych pakietów), a także dzięki niewielkiemu rozmiarowi (jeden pakiet wystarczył do wyexploitowania luki i w konsekwencji infekcji) propagacja Slammer’a osiągnęła niesamowite tempo – liczba zainfekowanych komputerów podwajała się co 8,5 sekundy! To powodowało gigantyczny wzrost ruchu w sieci (Slammer skanował “na ślepo”, bez wcześniejszej weryfikacji czy ma do czynienia z serwerem MS SQL), co skutkowało całkowitym wysyceniem łączy i niemożliwością korzystania z sieci (swoisty atak DoS). Brak łączności oczywiście dotknął wszystkich podłączonych do sieci, nawet jeżeli nie używali atakowanego oprogramowania. Pomimo istnienia łat na lukę wykorzystywaną przez robaka jego aktywność w Internecie jest nadal bardzo duża, co potwierdzają obserwacje dokonane przez system ARAKIS (od dawna góruje w rankingu najczęściej dopasowywanych reguł Snortowych oraz statystykach aktywności klastrów).

Ruch generowany przez tego robaka widoczny był na porcie 1434/UDP. Poniżej wykresy tego ruchu z systemu ARAKIS. Pierwszy ukazuje liczbę unikalnych adresów IP w pięciominutowych oknach czasowych widzianych przez honeypoty ARAKIS-a:

ARAKIS_HN_slammer_is_dead

Darknet ARAKIS-a również zanotował drastyczny spadek docierającego ruchu na port 1434/UDP (sieć darknet, zwana także network telescope – są to stosunkowo duże bloki adresów IP należące do operatorów, ale nie przydzielone żadnemu podmiotowi; więcej: http://en.wikipedia.org/wiki/Network_telescope). Poniżej wykres liczby przepływów widzianych w pięciominutowych oknach czasowych:

ARAKIS_Darknet_slammer_is_dead

Ponadto z ARAKIS-owej bazy klastrów z powodu braku dopasowań w ruchu sieciowym wypadł klaster opisujący Slammer’a. Zagraniczne serwisy także donoszą o nagłym zniknięciu Slammer’a. Poniżej wykres aktywności na porcie 1434 z systemu DShield (za Internet Storm Center, SANS Institute: http://isc.sans.edu/diary.html?storyid=10576)

ISC_SANS_Port1434-03212011

Wykresy ruchu na port 1434/UDP w systemie Atlas (za Atlas, Arbor Networks: http://atlas.arbor.net/) również stały się puste.

Nie wiemy, co jest przyczyną dezaktywacji robaka Slammer. W tym okresie miały miejsce dwa znaczące wydarzenia, które teoretycznie nie powinny były tego spowodować: trzęsienie ziemi w Japonii (ostatnio infekcje robaka w tym kraju stanowiły znikomy odsetek wszystkich infekcji) oraz comiesięczne wydanie przez Microsoft poprawek bezpieczeństwa (podatność wykorzystywana przez Slammera została załatana jeszcze przed pojawieniem się robaka, w biuletynie MS02-039). Być może ktoś wreszcie zaktualizował serwery MS SQL. Albo je wyłączył.

Inne nasze newsy dotyczące robaka Slammer: