SQL 슬래머
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
SQL 슬래머는 2002년 7월에 발생한, 데이비드 리치필드가 발견한 버퍼 오버플로우 취약점을 악용한 웜이다. 376바이트의 작은 코드로 작성되었으며, 무작위 IP 주소로 UDP 포트 1434를 통해 자신을 전송하여 패치되지 않은 마이크로소프트 SQL 서버를 감염시켰다. 이 웜은 빠르게 확산되어 인터넷 트래픽 증가를 유발하고 라우터 장애를 일으켰으며, 대한민국을 포함한 전 세계적으로 네트워크 지연 및 서비스 중단을 초래했다. MSDE가 설치되지 않은 가정용 컴퓨터는 일반적으로 감염되지 않았으며, 재부팅을 통해 웜을 제거할 수 있었지만, 패치를 적용하지 않으면 재감염될 수 있었다. SQL 슬래머는 UDP 프로토콜을 사용하고 작은 크기로 인해 빠르게 확산되었으며, 보안 패치의 중요성을 강조하는 계기가 되었다.
더 읽어볼만한 페이지
- 2000년대 해킹 - 님다
2001년에 발견된 님다는 전자 우편, 네트워크 공유, 감염된 웹사이트, IIS 서버 취약점, 백도어 등 다양한 경로를 통해 빠르게 확산된 강력한 컴퓨터 웜으로, 이메일 읽기만으로도 감염될 수 있고 발신자 주소 위장이 가능하여 피해를 키웠다. - 2000년대 해킹 - ILOVEYOU
ILOVEYOU는 2000년 5월 전 세계에 막대한 피해를 준 웜 바이러스로, "I LOVE YOU"라는 제목의 이메일과 악성 첨부파일, 사회 공학적 기법, 윈도우 시스템 취약점 등을 이용하여 빠르게 확산되어 컴퓨터 바이러스 역사상 가장 파괴적인 사례 중 하나로 기록되었다. - 컴퓨터 바이러스 - 님다
2001년에 발견된 님다는 전자 우편, 네트워크 공유, 감염된 웹사이트, IIS 서버 취약점, 백도어 등 다양한 경로를 통해 빠르게 확산된 강력한 컴퓨터 웜으로, 이메일 읽기만으로도 감염될 수 있고 발신자 주소 위장이 가능하여 피해를 키웠다. - 컴퓨터 바이러스 - ILOVEYOU
ILOVEYOU는 2000년 5월 전 세계에 막대한 피해를 준 웜 바이러스로, "I LOVE YOU"라는 제목의 이메일과 악성 첨부파일, 사회 공학적 기법, 윈도우 시스템 취약점 등을 이용하여 빠르게 확산되어 컴퓨터 바이러스 역사상 가장 파괴적인 사례 중 하나로 기록되었다.
| SQL 슬래머 | |
|---|---|
| 개요 | |
| 기술 명칭 | 해당 없음 |
| 별칭 | W32.SQLExp.Worm DDOS.SQLP1434.A 사파이어 웜 SQL_HEL W32/SQLSlammer 헬컨 |
| 종류 | 컴퓨터 웜 |
| 아종 | 해당 없음 |
| 분류 | 해당 없음 |
| 계열 | 해당 없음 |
| 격리 날짜 | 2003년 |
| 발원지 | 2003년 |
| 제작자 | 해당 없음 |
| 사건 정보 | |
| 날짜 | 해당 없음 |
| 위치 | 해당 없음 |
| 테마 | 해당 없음 |
| 목표 | 해당 없음 |
| 결과 | 해당 없음 |
| 손실 | 해당 없음 |
| 용의자 | 해당 없음 |
| 유죄 판결 | 해당 없음 |
| 선고 | 해당 없음 |
| 기술 세부 정보 | |
| 버전 | 해당 없음 |
| 운영체제 (OS) | 마이크로소프트 윈도우 |
| 패키지 | 해당 없음 |
| 파일 이름 | 해당 없음 |
| 파일 형식 | 해당 없음 |
| 파일 크기 | 해당 없음 |
| 익스플로잇 | 해당 없음 |
| 사용 포트 | 해당 없음 |
| 언어 | 해당 없음 |
| 단종 날짜 | 해당 없음 |
| 추가 정보 | |
| 버전 1 | 해당 없음 |
| 운영체제 (OS) 1 | 해당 없음 |
| 패키지 1 | 해당 없음 |
| 파일 이름 1 | 해당 없음 |
| 파일 형식 1 | 해당 없음 |
| 파일 크기 1 | 해당 없음 |
| 익스플로잇 1 | 해당 없음 |
| 사용 포트 1 | 해당 없음 |
| 언어 1 | 해당 없음 |
| 단종 날짜 1 | 해당 없음 |
2. 기술적 상세
SQL 슬래머는 SQL로 작성된 것이 아니지만, "'''SQL''' 슬래머"라고 불린다. 이 웜은 마이크로소프트의 SQL Server 또는 MSDE에 포함된 버퍼 오버플로우 취약점을 이용하여 감염된다. 해당 취약점에 대한 패치는 웜이 발생하기 6개월 전에 마이크로소프트에서 공개되었다([http://www.microsoft.com/technet/security/bulletin/MS02-039.mspx MS02-039], [http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx MS02-061]).
SQL 슬래머는 최초로 확인된 워홀형 웜이다. (2002년 니콜라스 위버의 논문을 통해 존재가 가정된 네트워크에서 급속히 확산되는 웜)
2003년 1월 25일, 전 세계 시스템 속도가 느려지면서 웜이 감지되기 시작했다. 속도 저하는 감염된 서버에서 발생하는 과도한 트래픽으로 인해 수많은 라우터가 붕괴되면서 발생했다. 일반적으로 트래픽이 라우터의 처리 용량을 초과하면 라우터는 네트워크 트래픽을 지연시키거나 일시적으로 중단해야 한다. 그러나 일부 라우터는 '충돌'(사용 불가능하게 됨)했고, "인접" 라우터는 이러한 라우터가 중단되었고 연락해서는 안 된다는 것을 인지하여 라우팅 테이블에서 제거했다. 이 라우터들은 자신이 알고 있는 다른 라우터에 이 사실을 알리기 시작했다. 이러한 라우팅 테이블 업데이트 알림이 범람하여 일부 라우터가 추가로 실패하면서 문제가 악화되었다. 결국 충돌한 라우터의 관리자가 라우터를 재시작하여 상태를 발표했고, 이로 인해 라우팅 테이블 업데이트가 다시 발생했다. 곧 인터넷 대역폭의 상당 부분이 라우팅 테이블을 업데이트하기 위해 서로 통신하는 라우터에 의해 소비되었고, 일반 데이터 트래픽은 느려지거나 어떤 경우에는 완전히 중단되었다. SQL 슬래머 웜은 크기가 매우 작았기 때문에 합법적인 트래픽이 통과하지 못할 때도 통과할 수 있었다.
2. 1. 작동 원리
블랙 햇 브리핑에서 데이비드 리치필드가 시연한 개념 증명 코드를 기반으로 하였다. 데이비드 리치필드는 웜이 악용한 버퍼 오버플로우 취약점을 처음 발견했다.[4] 웜은 무작위 IP 주소를 생성하고 해당 주소로 스스로를 전송하는 것 외에는 별다른 작업을 수행하지 않는 작은 코드 조각이다. 선택된 주소가 UDP 포트 1434에서 수신 대기 중인 패치되지 않은 마이크로소프트 SQL 서버 복사본을 실행하는 호스트에 속하는 경우, 해당 호스트는 즉시 감염되어 더 많은 웜 프로그램 복사본을 인터넷으로 전송하기 시작한다.웜은 크기가 매우 작아 디스크에 스스로를 기록하는 코드를 포함하지 않으므로 메모리에만 유지되며 제거하기 쉽다. 예를 들어 시만텍은 무료 제거 유틸리티를 제공하며, SQL Server를 다시 시작하여 제거할 수도 있다(하지만 해당 시스템은 즉시 재감염될 가능성이 높다).
웜은 2002년 7월 24일에 마이크로소프트가 처음 보고한 SQL Server의 소프트웨어 보안 취약점으로 인해 가능해졌다. 웜이 시작되기 6개월 전에 마이크로소프트에서 패치를 사용할 수 있었지만, 많은 설치가 패치되지 않았다(마이크로소프트의 많은 설치 포함).[5]
SQL 슬래머의 빠른 전파에 기여한 두 가지 주요 측면이 있다. 웜은 세션리스 UDP 프로토콜을 통해 새로운 호스트를 감염시켰으며, 전체 웜(376바이트)은 단일 패킷 내에 들어맞는다.[10][11] 그 결과 각 감염된 호스트는 가능한 한 빠르게 패킷을 "쏘고 잊어버릴" 수 있었다.
2. 2. 확산 방식
블랙 햇 브리핑에서 데이비드 리치필드가 시연한 개념 증명 코드를 기반으로 했다. 데이비드 리치필드는 이 웜이 악용한 버퍼 오버플로우 취약점을 처음 발견했다.[4] 웜은 무작위 IP 주소를 생성하고 해당 주소로 스스로를 전송하는 작은 코드 조각이다. 선택된 주소가 UDP 포트 1434에서 수신 대기 중인 패치되지 않은 마이크로소프트 SQL 서버 복사본을 실행하는 호스트에 속하는 경우, 해당 호스트는 즉시 감염되어 더 많은 웜 프로그램 복사본을 인터넷으로 전송하기 시작한다.웜은 크기가 매우 작아 메모리에만 유지되며, 시만텍에서 제공하는 무료 제거 유틸리티를 사용하거나 SQL Server를 다시 시작하여 제거할 수 있다. 하지만 시스템은 즉시 재감염될 가능성이 높다.
웜은 2002년 7월 24일에 마이크로소프트가 처음 보고한 SQL Server의 소프트웨어 보안 취약점을 악용한다. 웜이 시작되기 6개월 전에 마이크로소프트에서 패치를 제공했지만, 많은 설치가 패치되지 않았다.[5]
웜의 빠른 확산에는 두 가지 주요 요인이 있다. 첫째, 세션리스 UDP 프로토콜을 통해 새로운 호스트를 감염시킨다. 둘째, 전체 웜(376바이트)은 단일 패킷에 들어간다.[10][11] 그 결과 각 감염된 호스트는 가능한 한 빠르게 패킷을 전송할 수 있었다.
3. 피해 상황
SQL 슬래머 웜은 인터넷 폭풍 센터 등 인터넷 트래픽을 모니터링하는 사이트에서 네트워크가 세계적인 규모로 현저하게 느려지고 있다고 보고되면서 알려지기 시작했다. 이는 2001년 여름에 대유행한 코드 레드와 비슷한 상황이었다.[14]
일본에서의 피해는 적었지만, 대한민국에서는 큰 피해가 발생했다. 이외에도 아시아, 유럽, 북미에서도 유사한 공격이 보고되었다. 시만텍은 전 세계적으로 최소 2만 2000대 이상의 시스템이 영향을 받았을 것으로 추정했다.
마이크로소프트 SQL Server 데스크톱 엔진(MSDE)이 이 웜에 감염되어 감염 수를 늘려갔다. MSDE가 설치되어 있다는 것을 모르는 일반 가정 사용자의 존재도 사태를 악화시켰다. 또한 이 웜은 MSDE가 작동하는 컴퓨터가 인터넷을 통해 감염되었을 경우, 네트워크 주소 변환(NAT) 내부의 SQL Server에도 감염될 수 있었다.
3. 1. 대한민국에서의 피해
일본의 감염 상황은 매우 미미했지만(시만텍에 대한 감염 보고는 1건뿐), 보안 의식이 낮고 복사 소프트웨어가 만연해 있어 패치 및 서비스 팩을 적용하지 않은 대한민국에서는 감염된 SQL Server로 인해 DNS가 다운되어 전국적으로 인터넷을 사용할 수 없게 되는 등 큰 영향이 나타났다. 기업 서버에서도 많은 감염 피해가 발생했다.[15]3. 2. 전 세계적 피해
2003년 1월 25일 초부터 SQL 슬래머 웜이 전 세계 시스템 속도를 느리게 하면서 감지되기 시작했다. 감염된 서버에서 발생하는 과도한 트래픽으로 인해 수많은 라우터가 붕괴되면서 속도 저하가 발생했다. 일반적으로 트래픽이 라우터가 처리하기에 너무 높으면 라우터는 네트워크 트래픽을 지연시키거나 일시적으로 중단해야 한다. 하지만 일부 라우터는 '충돌'(사용 불가능하게 됨)했고, "인접" 라우터는 이러한 라우터가 중단되었고 연락해서는 안 된다는 것을 인지하여 라우팅 테이블에서 제거했다. 라우터들은 서로에게 이러한 내용을 알리는 알림을 보내기 시작했다. 라우팅 테이블 업데이트 알림이 범람하여 일부 라우터가 추가로 실패하면서 문제가 악화되었다. 결국 충돌한 라우터의 관리자가 라우터를 재시작하여 상태를 발표하게 했고, 이로 인해 라우팅 테이블 업데이트가 다시 발생했다. 곧 인터넷 대역폭의 상당 부분이 라우팅 테이블을 업데이트하기 위해 서로 통신하는 라우터에 의해 소비되었고, 일반 데이터 트래픽은 느려지거나 어떤 경우에는 완전히 중단되기도 했다.인터넷 폭풍 센터 등 인터넷 트래픽을 모니터링하는 사이트는 네트워크가 세계적인 규모로 현저하게 느려지고 있다고 보고했다. 이는 2001년 여름에 대유행한 코드 레드와 비슷한 상황이었다.
일본의 감염 상황은 매우 미미했지만(시만텍에 대한 감염 보고는 1건뿐), 대한민국에서는 보안 의식이 낮고 복사 소프트웨어가 만연해 있어 패치 및 서비스 팩을 적용하지 않은 SQL Server가 많았다. 이로 인해 DNS가 다운되어 전국적으로 인터넷을 사용할 수 없게 되는 등 큰 피해가 발생했으며, 기업 서버에서도 많은 감염 피해가 보고되었다.[15]。 아시아, 유럽, 북미에서도 유사한 공격이 보고되었다.
백신 소프트웨어 제조사인 시만텍은 전 세계적으로 최소 2만 2000대 이상의 시스템이 영향을 받았을 것으로 추정했다.
4. 대응 및 교훈
SQL 슬래머는 W3 Media의 수석 웹 개발자이자 기술 매니저인 벤 코시가 처음 발견했다.[14] 이 웜은 SQL로 작성되지 않았지만, 마이크로소프트의 SQL Server 또는 MSDE에 포함된 버퍼 오버플로우 취약점을 이용했기 때문에 'SQL 슬래머'라는 이름이 붙었다.[14]
인터넷 폭풍 센터 등 인터넷 트래픽을 모니터링하는 사이트들은 네트워크가 세계적인 규모로 느려지고 있다고 보고했다. 이는 2001년 여름에 유행했던 코드 레드 웜과 비슷한 상황이었다.
가정용 컴퓨터는 일반적으로 MSDE가 설치되어 있지 않으면 감염되지 않았다. 또한 웜은 디스크에 기록되지 않고 메모리에 상주하기 때문에, 재부팅만으로도 쉽게 제거할 수 있었다. 하지만 재부팅 후에도 대책을 세우지 않으면 다시 감염될 수 있었다.
네트워크 지연은 감염된 서버들이 쏟아내는 대량의 패킷으로 인해 발생했다. 이로 인해 네트워크 트래픽이 증가하고, 다수의 라우터가 다운되었다. 일반적으로 트래픽이 처리 한계를 초과하면 라우터는 처리를 지연시키거나 네트워크 트래픽을 차단한다. 그러나 일부 라우터가 충돌하면서 인접 라우터들은 해당 라우터로의 패킷 전달을 중단해야 한다고 감지했다. 이 과정에서 라우팅 테이블 갱신 정보가 폭풍처럼 쏟아져 나와 더 많은 라우터 고장을 일으켰다. 충돌한 라우터가 재부팅되면서 다시 라우팅 갱신 정보 통지 폭풍이 발생했고, 인터넷 대역폭 대부분이 이 통신에 사용되어 일반 데이터 트래픽이 지연되거나 중단되었다. 아이러니하게도, SQL 슬래머는 크기가 작아 통신에 성공했지만, 정상적인 패킷 통신은 불가능해졌다.
4. 1. 보안 패치의 중요성
SQL 슬래머는 마이크로소프트의 SQL Server 또는 MSDE에 포함된 버퍼 오버플로우 취약점을 이용해 감염되었다. 마이크로소프트는 이 취약점에 대한 패치 프로그램을 6개월 전에 공개했지만([14], 많은 시스템에 적용되지 않았다.대한민국에서는 낮은 보안 의식과 복사 소프트웨어 만연으로 인해 패치 및 서비스 팩을 적용하지 않은 SQL Server가 많았다. 이로 인해 DNS가 다운되어 전국적으로 인터넷을 사용할 수 없게 되는 등 큰 피해가 발생했으며,[15] 기업 서버에서도 많은 감염 피해가 보고되었다.[15]
2002년 7월 24일, 마이크로소프트는 SQL Server의 보안 취약점을 보고하고 패치를 출시했다. 하지만 웜이 등장하기 6개월 전이었음에도 불구하고, 마이크로소프트 자체 서버를 포함한 많은 시스템에 패치가 적용되지 않아 피해가 커졌다.
4. 2. 보안 의식 강화
일본의 감염 상황은 매우 미미했지만(시만텍에 대한 감염 보고는 1건뿐), 보안 의식이 낮고 복사 소프트웨어가 만연해 있어 패치 및 서비스 팩을 적용하지 않은 대한민국에서는 감염된 SQL Server로 인해 DNS가 다운되어 전국적으로 인터넷을 사용할 수 없게 되는 등 큰 영향이 나타났다. 기업 서버에서도 많은 감염 피해가 발생했다.[15]。 또한, 아시아, 유럽, 북미에서도 유사한 공격이 보고되었다.백신 소프트웨어 제조사인 시만텍은 전 세계적으로 최소 2만 2000대나 되는 시스템이 영향을 받았을 것으로 추정했다.
마이크로소프트 SQL Server 데스크톱 엔진(MSDE)은 이 웜에 감염되어 감염 수를 늘려갔다. MSDE가 설치되어 있다는 것을 모르는 일반 가정 사용자의 존재도 사태를 악화시켰다. 이 웜은 MSDE가 작동하는 컴퓨터가 인터넷을 통해 감염되었을 경우, 네트워크 주소 변환(NAT) 내부의 SQL Server에 감염될 수 있었다.
4. 3. 워홀형 웜
SQL 슬래머는 확인된 최초의 워홀형 웜(2002년 니콜라스 위버의 논문을 통해 존재가 가정된 네트워크에서 급속히 확산되는 웜)이다. 이 웜이 급속히 확산된 데에는 두 가지 이유가 있는데, 하나는 UDP상에서 감염을 확산시킨 것이고, 다른 하나는 웜이 376 바이트밖에 되지 않아 1 패킷에 담겼다는 점이다. 그 결과, 감염된 호스트가 다른 머신과의 연결을 확립할 필요가 없어지고, 각 감염된 호스트는 한계까지 공격을 시도할 수 있었다(대략 초당 수백 회).[14]참조
[1]
웹사이트
Symantec W32.SQLExp.Worm
https://web.archive.[...]
[2]
웹사이트
CVE - CVE-2002-0649
https://cve.mitre.or[...]
2023-09-07
[3]
웹사이트
SQL Slammer Virus (Harbinger of things to come)
https://cyberhoot.co[...]
2020-02-12
[4]
뉴스
Slammer: Why security benefits from proof of concept code
https://www.theregis[...]
Register
2003-02-06
[5]
간행물
Microsoft Attacked By Worm, Too
https://www.wired.co[...]
[6]
웹사이트
MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434!
http://seclists.org/[...]
Bugtraq
2003-01-25
[7]
웹사이트
Peace of Mind Through Integrity and Insight
http://archives.neoh[...]
Neohapsis Archives
2003-01-25
[8]
웹사이트
Peace of Mind Through Integrity and Insight
http://archives.neoh[...]
Neohapsis Archives
2003-01-25
[9]
웹사이트
SQLExp SQL Server Worm Analysis
https://web.archive.[...]
DeepSight™ Threat Management System Threat Analysis
2003-01-28
[10]
웹사이트
The Spread of the Sapphire/Slammer Worm
https://www.caida.or[...]
[11]
서적
Performance Tools and Applications to Networked Systems
[12]
뉴스
SQLスラマー、10分間に7万5000台感染 過去例のない速さ・米研究者調査
http://www.nikkei.co[...]
日本経済新聞ウイークエンド版
2003-02-04
[13]
간행물
世界規模で報告されたネット障害についての総括レポート~Slammerワームによる被害について~
http://www.meti.go.j[...]
経済産業省情報セキュリティ政策室
2003-01-31
[14]
웹사이트
W3 Media's Ben Koshy first to identify Internet 'Slammer' Virus
http://www.w3media.c[...]
W3MEDIA.COM
2003-01-24
[15]
뉴스
SQLワーム被害に「人災だ」の声、日本での影響は軽微
https://atmarkit.itm[...]
アットマーク・アイティ
2003-01-28
[16]
웹인용
Symantec W32.SQLExp.Worm
http://www.symantec.[...]
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com