تعدادی از بدافزارها رویکردی شبیه به نرمافزارهای کاربردی دارند. آنها بهمرور زمان تکامل پیدا میکنند و پس از وقفهای کوتاه یا طولانیمدت دومرتبه فعالیت خود را از سر میگیرند. کرم SQL Slammer نمونهای از این بدافزارهای تکامل یافته است.
این کرم نخستین بار در تاریخ 25 ژانویه 2003 میلادی درست سیزده سال پیش شناسایی شد. در آن زمان، بدافزار فوق موفق شد فعالیت بخش قابل توجهی از اینترنت را مختل کند. اما کارشناسان امنیتی بهتازگی مشاهده کردهاند این بدافزار یک بار دیگر فعال شده است.
کارشناسان امنیتی در تحقیقات میدانی خود و با رصد کردن فضای سایبری کشف کردهاند این بدافزار با ارسال پاکتهای (بستههای) زیادی بهسمت روترها و سرورها بستری را برای پیادهسازی یک حمله منع سرویس آماده میکند. تحلیل انجام شده کارشناسان امنیتی نشان میدهد این کرم تنها پس از ده دقیقه فعالیت نزدیک به 75 هزار سامانه کامپیوتری را قربانی خود ساخته است. اولین بار کدهای اثبات مفهومی این بدافزار از سوی دیوید لیچفیلد در کنفرانس کلاهسیاهها ارائه شد. نسخه فوق نیز بر اساس همان کدها طراحی شده است.
در آن کنفرانس، لیچفیلد اعلام کرد یک آسیبپذیری را در محصول نرمافزاری مایکروسافت SQL Server و همچنین بانک اطلاعاتی Desktop Engine شناسایی کرده است. آسیبپذیری فوق در ارتباط با سرریز بافر بود. مایکروسافت نزدیک به شش ماه قبل از ظهور این بدافزار آسیبپذیری فوق را وصله کرد. اما متأسفانه بسیاری از کاربران این وصله را نصب نکردند و زمینه را برای گسترش سریع این بدافزار مهیا کردند. اندازه بدافزار SQL Slammer تنها 376 بایت است و بهراحتی درون یک بسته تحت شبکه قرار میگیرد. همین موضوع باعث میشود تا سرعت تکثیر و انتقال آن بسیار بالا باشد. بدافزار فوق درخواستهایی را برای پورت 1434 و در قالب بستههای پروتکل UDP ارسال میکند. بستههای آلوده برای روتر ارسال میشوند و روتر آلوده را مجبور میکنند تا کد مخرب را برای آدرسهای IP تصادفی ارسال کند.
در نتیجه، دستگاههای آلوده بهراحتی شبکهای از باتها را به وجود میآورند و به هکر اجازه میدهند تا یک حمله منع سرویس را پیادهسازی کند. در حالی که بسیاری از کارشناسان حوزه امنیت بر این باور بودند که گذشت بیش از ده سال از عمر این بدافزار آن را به دست فراموشی سپرده است، اما پژوهشهای جدید نشان میدهند SQL Slammer یک بار دیگر برخاسته و فعالیتهای خود را آغاز کرده است. بر اساس دادههای جمعآوری شده، این بدافزار در بازه زمانی 28 نوامبر تا 4 دسامبر بهشکل قابل توجهی فعال بوده است.
این دادهها نشان میدهند SQL Slammer یکی از برجستهترین بدافزارهایی بوده است که در این بازه زمانی شناسایی شده است. این بدافزار تا به این لحظه 172 کشور را مورد حمله قرار داده است. در این میان، 26 درصد از حملات بهسمت ایالات متحده بوده است. الگوی به دست آمده نشان میدهد این حملات بدافزاری بهشکل هدفدار انجام نمیشوند، اما طول موج بزرگی دارند. کارشناسان امنیتی در تحقیقات خود متوجه شدهاند که آدرسهای IP که این بدافزار از آنها استفاده کرده است عمدتاً متعلق به کشورهای مکزیک، ویتنام، اوکراین و چین بوده است.
حملاتی که از سوی این بدافزار بهطور گسترده و البته غیرهدفمند انجام شده است این پرسشها را در ذهن ما تداعی میکند، آیا بدافزاری که اولین بار در سال 2003 شناسایی شده و در یک دهه گذشته فعالیت بسیار کمی را داشته اکنون بهدنبال آن است تا یک بار دیگر به فضای مجازی بازگردد و دومرتبه یک حمله هدفمند را سازماندهی کند یا تنها گروهی از هکرها بهدنبال آزمایش آن بودهاند؟ حملاتی که در این مدت انجام شدهاند بهمنظور ارزیابی سامانههای امنیتی بودهاند یا با هدف آمادهسازی این بدافزار برای یک حمله بزرگتر ترتیب داده شدهاند؟ گذر زمان به این پرسشها پاسخ خواهد داد.
ثبت نظر