체크포인트(Check Point)의 연구진들은 SQL 슬래머 웜이 전 세계에 노후된 SQL 서버들을 감염시키기 위해 귀환하고 있다고 밝힘
주요내용
SQL 슬래머는 가장 오래 살아남은 침해위협 중 하나임과 동시에 14년 전에 처음 그 모습을 드러냈고, 이제 오래된 SQL 서버들을 감염시키기 위해 재출현 - SQL 슬래머는 마이크로소프트 SQL 서버와 데스크탑 엔진의 아주 오래된 취약점을 공격하여 서비스 거부 공격을 유발하며 2003년, 보안 연구가 마이클 바카렐라(Michael Bacarella)가 슬래머에 대한 경종을 울렸고 이 웜은 전 세계에 있는 수 천대의 서버 중 수십 대를 서비스 거부 상태로 만듦 - 연구진은 “전 세계의 다양한 지점으로의 대량 패킷 손실”이 임의의 순서로 주소를 핑 플러딩(Ping Flooding) 하여 MS SQL 서버에 영향을 주는 웜으로 인해 발생했다고 알림 - 이 웜은 마이크로소프트 SQL 서버 2000 혹은 MSDE 2000에서 UDP 1434 포트로 형식화 된 요청을 보내어 버퍼 오퍼플로우 취약점을 공격할 수 있음 - 서버를 감염시키고 난 뒤, 이 웜은 무작위 IP 주소들로 동일한 페이로드를 전송하여 빠르게 전파되려는 시도를 하여 희생자의 기기를 서비스 거부 상태에 놓이게 함 - SQL 슬래머는 과거 블랙햇(Black Hat) 소속이었고 현재는 구글 보안 연구가인 데이비드 리치필드(David Litchfield)가 제작한 PoC 공격 코드에서부터 시작됨 - 이 악성코드는 SQL 서버 확인 서비스(SQL Server Resolution service)의 버퍼 오버플로우 취약점을 공격하는 데 사용되었으며, NGS소프트웨어(NGSSoftware)가 발견했고 MS에서는 2013년 7월에 패치
현재 체크포인트(Check Point)의 연구진들은 이 취약점이 12월 초(2016년 11월 28일부터 12월 4일)에 모습을 드러냈으며 대부분 현재 2월에는 해당 웜이 미국 내의 기기들을 목표로 한다고 확신 - “체크포인트 Threat Cloud 에서 수집한 전 세계적 데이터를 지속적으로 분석하면서, 우리는 2016년 11월 28일부터 12월 4일 사이에 이 시간대에 탐지된 최고의 악성코드 중 하나인 SQL 슬래머로 인한 대량의 공격 시도 증가를 탐지했습니다.” 라고 최근 체크포인트 분석보고회에서 언급 - “체크포인트에서 탐지한 공격 시도는 매우 다양한 목적지 국가로 연결되었으며, 그 중 26퍼센트는 미국의 네트워크로 향했습니다. 이는 공격이 목표한 것 보다 폭넓게 펼쳐지고 있다는 것을 알려줍니다.” 라고 언급 - 연구진은 슬래머 웜과 관련된 대량의 트래픽이 중국, 베트남, 멕시코의 IP 주소에서 비롯된 것이라고 알림