بدافزار قدیمی SQL Slammer پس از سیزده سال دومرتبه بیدار شد

این کرم نخستین بار در تاریخ 25 ژانویه 2003 میلادی درست سیزده سال پیش شناسایی شد. در آن زمان، بدافزار فوق موفق شد فعالیت بخش قابل توجهی از اینترنت را مختل کند. اما کارشناسان امنیتی به‌تازگی مشاهده کرده‌اند این بدافزار یک بار دیگر فعال شده است. 

مطلب پیشنهادی

افزایش حملات DDoS با توسعه دستگاه‌های IoT

هکرها به‌کمک اینترنت اشیا شبکه یک دانشگاه را از کار انداختند

کارشناسان امنیتی در تحقیقات میدانی خود و با رصد کردن فضای سایبری کشف کرده‌اند این بدافزار با ارسال پاکت‌های (بسته‌های) زیادی به‌سمت روتر‌ها و سرورها بستری را برای پیاده‌سازی یک حمله منع سرویس آماده می‌کند. تحلیل انجام شده کارشناسان امنیتی نشان می‌دهد این کرم تنها پس از ده دقیقه فعالیت نزدیک به 75 هزار سامانه کامپیوتری را قربانی خود ساخته است. اولین بار کدهای اثبات مفهومی این بدافزار از سوی دیوید لیچفیلد در کنفرانس کلاه‌سیاه‌ها ارائه شد. نسخه فوق نیز بر اساس همان کدها طراحی شده است. 

در آن کنفرانس، لیچفیلد اعلام کرد یک آسیب‌پذیری را در محصول نرم‌افزاری مایکروسافت SQL Server و همچنین بانک‌ اطلاعاتی Desktop Engine شناسایی کرده است. آسیب‌پذیری فوق در ارتباط با سرریز بافر بود. مایکروسافت نزدیک به شش ماه قبل از ظهور این بدافزار آسیب‌پذیری فوق را وصله کرد. اما متأسفانه بسیاری از کاربران این وصله را نصب نکردند و زمینه را برای گسترش سریع این بدافزار مهیا کردند. اندازه بدافزار SQL Slammer تنها 376 بایت است و به‌راحتی درون یک بسته تحت شبکه قرار می‌گیرد. همین موضوع باعث می‌شود تا سرعت تکثیر و انتقال آن بسیار بالا باشد. بدافزار فوق درخواست‌هایی را برای پورت 1434 و در قالب بسته‌های پروتکل UDP ارسال می‌کند. بسته‌های آلوده برای روتر ارسال می‌شوند و روتر آلوده را مجبور می‌کنند تا کد مخرب را برای آدرس‌های IP تصادفی ارسال کند.

مطلب پیشنهادی

مبارزه نفس‌گیر با هرزنامه‌ها

جی‌میل از ایمیل‌های جعلی شکست خورد!

در نتیجه، دستگاه‌های آلوده به‌راحتی شبکه‌ای از بات‌ها را به وجود می‌آورند و به هکر اجازه می‌دهند تا یک حمله منع سرویس را پیاده‌سازی کند. در حالی که بسیاری از کارشناسان حوزه امنیت بر این باور بودند که گذشت بیش از ده سال از عمر این بدافزار آن‌ را به دست فراموشی سپرده است، اما پژوهش‌های جدید نشان می‌دهند SQL Slammer یک بار دیگر برخاسته و فعالیت‌های خود را آغاز کرده است. بر اساس داده‌های جمع‌آوری شده، این بدافزار در بازه زمانی 28 نوامبر تا 4 دسامبر به‌شکل قابل توجهی فعال بوده است.

این داده‌ها نشان می‌دهند SQL Slammer یکی از برجسته‌ترین بدافزارهایی بوده است که در این بازه زمانی شناسایی شده است. این بدافزار تا به این لحظه 172 کشور را مورد حمله قرار داده است. در این میان، 26 درصد از حملات به‌سمت ایالات متحده بوده است. الگوی به دست آمده نشان می‌دهد این حملات بدافزاری به‌شکل هدف‌دار انجام نمی‌شوند، اما طول موج بزرگی دارند. کارشناسان امنیتی در تحقیقات خود متوجه شده‌اند که آدرس‌های IP که این بدافزار از آن‌ها استفاده کرده است عمدتاً متعلق به کشورهای مکزیک، ویتنام، اوکراین و چین بوده است. 

حملاتی که از سوی این بدافزار به‌طور گسترده و البته غیرهدفمند انجام شده است این پرسش‌ها را در ذهن ما تداعی می‌کند، آیا بدافزاری که اولین بار در سال 2003 شناسایی شده و در یک دهه گذشته فعالیت بسیار کمی را داشته اکنون به‌دنبال آن است تا یک بار دیگر به فضای مجازی بازگردد و دومرتبه یک حمله هدفمند را سازمان‌دهی کند یا تنها گروهی از هکرها به‌دنبال آزمایش آن بوده‌اند؟ حملاتی که در این مدت انجام شده‌اند به‌منظور ارزیابی سامانه‌های امنیتی بوده‌اند یا با هدف آماده‌سازی این بدافزار برای یک حمله بزرگ‌تر ترتیب داده شده‌اند؟ گذر زمان به این پرسش‌ها پاسخ خواهد داد.