Bienvenue sur ZATAZ

Reportage

Virus SQL Saphire

Publié le 28-02-2004 dans le thème A RANGER !

Pays : Europe - Auteur : Damien Bancal

Pub : 100 DVD vierges déjà pour 22,90 EUR

Note des lecteurs: 1.2/5

Virus SQL, le web fait la tronche !

Samedi 25 janvier, 06 heures 30 du matin, une attaque lancée par un ou plusieurs groupes pirates commence à perturber le réseau des réseaux via un DDoS mis en place par un virus SQL nommé Saphhire.

Plusieurs gros serveurs tel que UUnet, Level 3, Ld Com ou encore H.P. sont tombés en rade.
L'attaque a visé l'Asie, l'Europe et le Pacifique puis s'est répandue sur toute la planéte. La France a aussi été touchée de maniére assez forte avec des probléme chez E-nexus, Caramail, Voila, OVH et même Wanadoo. Sur un acces ADSL wanadoo, il a été compté environ 1 paquet de 376 octets par minute. Imaginez le débit total pour la filiale de France Télécom. En belgique Skynet a du fermer des connections suspecte. Toutes les connections ayant un traffic trop important avaient été bloquées afin de protéger le réseau de l'attaque. Au moins cinq de treize root-serveurs ont été perturbés. En italie, ce n'est pas moins de 14 000 bureaux de poste qui se sont retrouvés sans ordinateur. Bref une sacré pagaille. En afrique du sud South African Standard Bank's et le Standard Bank Card Division étaient HS. Impossible pour les clients d'utiliser leurs cartes bancaires.

Le pays le plus touché reste la Corée d'ou semble être parti cette aggression numérique. Cependant certains experts pensant que ce virus est parti de Hong-Kong. Pourtant le plus important fournisseur du pays, Korean Telecom, a vu ses serveurs détournées.
Pour rappel 7 coréens sur 10 sont connectés à Internet. On vous invite à voir en image, dans un document exclusif ZATAZ, l'attaque de Sapphire. (0)

Kommentkifait ?
Ce code malveillant exploite une vulnérabilité des « SQL Servers » pour lancer des attaques de déni de service contre les serveurs de réseaux d’entreprises. Il envoie un paquet de 376 octets au port UDP 1434 (Port de Service d’Assistance de SQL Server). Afin d’envoyer ce paquet qui inclut le ver W32/SQLSlammer, il ouvre un port netbios. Simultanément, il utilise une fonction pour créer une adresse IP pour effectuer cet envoi. Il cherche à travers le réseau d’autres SQL Servers avec la même vulnérabilité, s’installe et se réplique dessus. Quelques heures après son apparition, des milliers de serveurs étaient affectés. Les dégâts occasionnés par ce code malveillant relèvent de l’attaque de déni de service, qui provoque notamment des échecs de services de messagerie, le ralentissement de connexions Internet et un blocage des réseaux. Voici en animation l'action de Sapphire.

Les principales applications utilisant Microsoft SQL Server : Compaq Insight Manager; Crystal Reports Enterprise; Dell OpenManage; HP Openview Internet Services Monitor; Microsoft .NET Framework SDK; Microsoft Office XP Developer Edition; Microsoft Project; Microsoft Visio 2000; Microsoft Visual FoxPro; Microsoft Visual Studio.NET et Veritas Backup Exec. Lors du Defcon 10, qui se déroulait à las Vegas en août 2002, un expert britannique, David Litchfield, co-fondateur du logiciel NGS, avait présenté un code viral du type de Slammer. David Litchfield avait présenté sa découverte lors de la session Black-Hat, montrant le danger d'un virus de ce type.

Ce qui suit est un court apercu de ce que fait la charge utile du ver après infection:
1/ Recherche de l'adresse GetProcAdress et de Loadlibrary de l'IATdans sqlsort.dll. Il prend les adresse de base de la bibliothèque et les points d'entrée nécessaire des fonctions selon ses besoins.

2/ Appel du gettickcount et utilisation du compte comme pseudo-random.

3/ Création d'un sock UDP

4/ Execution d'une pseudo formule simple de génération de nombre aléatoire en utilisant la valeur retournée de gettickcount pour produire une adresse IP qui seras utilisée plus tard comme cible.

5/ Envois de la charge utile du ver dans une demande de service de résolution du serveur SQL à l'adresse IP aléatoire sur le port 1434 (UDP)

6/ Retour de la formule et continuation de la création d'adresse aléatoire

Le code source de ce virus désassemblé et modifié par David Litchfield et lion.

Anti Virus gratuit contre Sapphire.

Qui ?
Depuis plusieurs mois des "essais" d'attaques, comme le Déni de Service Distribué à l'encontre des 13 root-serveurs (1) - (2) (21 octobre 2002) ou encore contre UltimatDNS (3) (27 novembre 2002) ont montré que des actions se préparaient. Depuis quelques semaines déjà, sur le réseau Darknet, les pirates parlaient d'une attaque de masse mais sans vraiment dire qui, quoi, comment et pourquoi.

Nous vous avions expliqué en juillet dernier comment le groupe de pirates "Fluffy Bunny" préparait dans son coin une attaque de ce genre (4). Nous vous avions aussi expliqué que ce genre d'attaque n'avait rien de difficile en vous montrant comment un spécialiste de la sécurité informatique français avait réussi, en quelques semaines, a regrouper une base de données de plus d'un million de serveurs Internet capable de servir à une telle offensive (5).

Le "piratage" de ce samedi matin "n'a" débuté qu'avec 17 000 requetes SQL qui ont crée un buffer overflows venant de 5 000 zombies, et cela en moins de 30 minutes. Par Zombies comprenez serveurs piratés servant de relai pour lancer le virus sur le réseau.

L'Association Coopérative pour l'Analyse des Données d'Internet, le CAIDA, va constater que le ver a doublé de densité toutes les 8.5 secondes. De quoi bloquer le réseau des réseaux en ... 15 minutes.

Quoi ?
Ce virus nommé SnakeSql lors de sa découverte en mars 2002, (6) avait obligé Microsoft a publier une alerte au sujet d'un probléme de sécurité qui visait sa version SQL 7 et son serveur de SQL 2000. Les potes à Bill avait expliqué qu'un code malveillant appelé aussi Voyager Alpha Force se promenait sur le réseau et volait les mots de passe des comptes administrateur. Il avait touché à l'époque plus de 2 000 serveurs, dés son apparition. Cette année, sur une classe C filtrée, il a été compté pas moins de 28 000 paquets en quelques minutes.

Nous vous en parlions dés le jour de l'attaque. Il semble que nous avions visé juste. Les auteurs présumés du virus SQL Saphirre seraient des pirates chinois du groupe China Union Hacker - HUC -.

Nous vous avions déjà parlé de ce groupe voilà plus d'un an lors de la diffusion d'un virus par ces même pirates. Ver mis en action après qu'un avion espion américain se soit écrasé en Chine.

Les pirates du HUC vont redoubler dans les actes de barbouillages de sites web durant les anniversaires de l'histoire de la république populaire de chine - Massacre de chinois durant la guerre contre le Japon par exemple. - Voir exemple -.

China Union Hacker avait diffusé un virus intitulé l1on, du même nom que son auteur. Le ver avait infecté des ordinateurs et avait lancé une attaque DoS à l'encontre de sites américains. L1on est l'auteur d'un outil nommé HUC DoS tools. Voir notre capture.

A l'époque ce groupe signait déjà ses actes ainsi : "Comme nous sommes des chinois, nous aimons notre patrie et sa population. Nous sommes indignés par l'intrusion de l'impérialisme. La seule chose que nous avons à dire est que nous sommes nécessaires. Nous sommes prêts à consacrer notre vie pour notre pays, incluant même nos vies".

Motivation ?
Alors kikiatoké en ce samedi matin ? Voici plusieurs pistes possible ! Il doit y en avoir beaucoup d'autres :

:: Pirates Chinois qui fêtent le nouvel an ? L'année du Cheval... de Troie ! Rappelons aussi que l'armée chinoise n'a jamais caché travailler sur des codes viraux pouvant être utilisés en cas de conflit militaire. Les pirates chinois aiment, eux aussi, abuser de virii. Le groupe Hacker Union avait utilisé des virii, comme Torn, aprés qu'un avion espion de l'Us Army soit venu s'écraser sur le sol de leur pays. (8) (9) Update : 26/01 - Au vu de notre enquête, il semble que cette hypothése soit la bonne.

:: Des hacktivistes qui manifestent lors du lancement du forum de Davos ? (10) Ce virus MS-SQL a envoyé des millions de paquets UDP, un moyen comme un autre de manifester !

:: Guerre dans le petit monde du warez ? La faille employée par le virus est celle qui etait utilisée par les groupes warez pour placer leurs productions, Films, logiciels, mp3, Bds, sur des serveurs piratés grace à ce probléme de sécurité. Nous vous l'expliquions dans plusieurs de nos enquêtes, sur zataz.com (11) ou sur ZATAZ Magazine papier. (11b)

A noter qu'aujourd'hui 50 %, si ce n'est plus, des stros, comprenez des serveurs d'hebergement piratés, sont hors service. On peut d'ailleur se poser une question. La faille IIS, que les groupes warez adoraient va elle aussi quasiment disparaitre avec l'apparition du virus Code Red en 2001. Le warez va mettre du temps à s'en remettre. Aujourd'hui, SnakeSql remet au tapis les groupes de pirates de films/logiciels/ .... Et si le RIAA, la MPAA ou autres ... avaient commandité cette attaque ? Difficile à croire ! Ce n'est pas eux qui avaient pourtant demandé de pouvoir pirater les pirates ! (12)

:: Un neuneu du web qui vient de découvrir le logiciel dernier cri et qui va cliquer dessus ... (13) Deux secondes plus tard il part en criant pas glop ! Pas glop ! Pas glop ! Pas glop !!!
Souvenez-vous de Mafia-Boy, en 2000, qui va attaquer Yahoo, Cnn, ... ou encore le créateur du virus Kournikova. ZATAZ Magazine vous expliquait à l'époque comment ce virus avait été créé avec un générateur (14) de virus trouvé sur le web !

Voir les graphismes des Root-Serveurs
root-serveurs.
(2)

Le reseau en couleur
http://average.matrix.net/Daily/markR.html

Patch :
http://www.microsoft.com/

SQL 2000 Service Pack 3 :
http://www.microsoft.com/sql/downloads/2000/sp3.asp

Info technique en anglais :
http://www.microsoft.com/ (2)
http://www.nextgenss.com/advisories/mssql-udp.txt
http://sqlsecurity.com/DesktopDefault.aspx

:: Terroriste ? Le mot est tellement utilisé par le législateur que n'importe quel idiot du village, copieur, pirate est un terrosiste aujourd'hui sur Internet. Cependant ce virus a perturbé des usines, des banques, des transactions bancaires informatisées, les mels, ...

:: Escroquerie ? Pendant que les administrateurs se tapait la tête contre les murs, un pirate a peut-être vidé les caisses d'une ou plusieurs cibles précises. Aux Etats-Unis, la banque Bank of America Corp. a expliqué que la majorité de ses 13 000 distributeurs automatiques de billets étaient incapables de traiter des transactions suite à l'attaque du virus Sql et Américan Express était, de son côté, dans l'incapacité de fournir le moindre services à ses clients !

:: Bush qui se trompe de bouton et pense acheter des Bretzels sur le web ? Peu probable ! Mes un ou des services de renseignements profitant de ce genre "d'outil" pour forcer les entreprises du pays à se sécuriser avant une guerre annoncée ?

Bref des suppositions sans fondement, juste l'experience de cas vécus et connus de piratages, attaques, ...

Demain ?
Et bien demain sera un autre jour ! Il est malheureusement fort à parier qu'une nouvelle variante de ce virus apparaisse avec cette fois-ci des options beaucoup plus dangereuses. Aussi étonnant que cela puisse paraitre, Sapphire n'avait aucune charge de destruction, son seul but effrainé de reproduction, comme le virus Code Red en 2001, a perturbé le réseau, sans le paralyser. Sapphire aura touché quasiment autant de serveur que son grand frêre, soit 300 000 machines d'aprés Symantec.

Derniers contenus

La faille visant le protocole DNS diffusée... par erreur

Début juillet, Microsoft, Alcatel, Cisco et d'autres sociétés annonçaient avoir corrigée une importante faille visant le coeur même d'Internet. Trois semaines plus tard la faille est diffusée... par erreur.

Offre d'emploi: Clic’n Go recrute un développeur Web PHP

Clic’n Go, spécialiste dans le conseil, la conception et le développement de solutions multimédia exploitant les technologies du web, de la vidéo et du richmédia recrute un développeur Web PHP.

La CNIL déloge le mauvais comportement de 3 sites dédiés aux annonces immobiliéres

Annonces immobilières en ligne: la CNIL contrôle et empêche la commercialisation des données des particuliers à leur insu.

Concert: Manu Chao en live et gratuit sur le web

Le 30 juillet prochain, Manu Chao va diffuser, en live et gratuitement sur le réseau des réseaux, son concert qui aura lieu aux Arènes de Bayonne.

UBISoft diffuse un crack warez pour aider ses clients

Chasser le warez par la porte, il repasse par la fenêtre. L'éditeur de jeux vidéo UBISoft propose à ses clients un crack warez pour palier sa propre sécurité anti-copie.

Réseau de cybercriminels démantelé

Un réseau de cybercriminels démantelé par la police roumaine. 19 personnes arrêtées spécialisée dans les fausses ventes sur eBay.

Nouvel organisme de lutte contre les délits informatiques

L’Alliance nationale d’intervention judiciaire et de formation contre la cybercriminalité voit le jour au Canada. Les pirates peuvent trembler ?

Piratage de cartes à puce sans contact facile

Des failles permettent de cloner les cartes à puce Mifare Classic. La preuve par l'image alors que la société voulait faire interdire sa diffusion.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Derniers communiqués de presse

Libre blanc sur la copie illégale

La réduction du piratage de logiciels pourrait avoir un effet exponentiel sur le chiffre d’affaires des canaux de distribution. Un nouveau livre blanc démontre que les copies illégales gênent le développement des entreprises travaillant sur des produits M

Angelina Jolie, Guest star de la diffusion d’un Malware

Une nouvelle vague de spam utilisant de faux évènements concernant l’actrice Angelina Jolie dans le but de tromper les utilisateurs afin qu’ils téléchargent et installent un Trojan sur leurs ordinateurs.

318.000 nouveaux malwares

L’industrie du malware est passée à la vitesse supérieure. Chaque jour c’est environ 1 500 nouveaux logiciels malveillants qui se déchaînent contre les utilisateurs de Windows.

Dada achète Amen

La société DADA achéte l'hébergeur français Amen, filiale de Claranet.

Stars-buzz.com

Bienvenue chez les ch?tis: l?overdose

Une opération promotionnelle vient d’être lancée afin de faire grimper le film de Dany Boon au sommet du top cinématographique. Mission, espérer battre le nombre d’entrées du film Le Titanic. Il manque tout de même 400.00 entrées pour faire plaisir à Pathé. L’opération lancée permet d’aller voir le film Bienvenue chez les Ch’tis pour la [...]

Le secret de Cyril révélé

Le moins que l’on puisse dire est que Cyril a été buzzé ce jour. Toute la troupe de Secret Story 2 a annoncé connaitre son secret. Musicien, magicien, Yamakazi… et champion de danse. Hayder et Alexandra ont gagné la moitié de sa cagnote, 3.100 euros car ils n’ont pas indiqué précisément le “secret” de Cyril. [...]

Concert de Manu Chao en live et gratuit sur Internet

Vous ne pouvez pas vous rendre dans les Arènes de Bayonne le mercredi 30 juillet prochain pour assister au concert de Manu Chao ? Pas de panique. Le chanteur va proposer, en collaboration avec la chaîne culturelle ARTE, son rendez-vous, en live sur Internet et totalement gratuitement. Trois heures de concert ) partir de 20h15 [...]

Gratuit: Festival diffusé sur Internet

Créé en 1994, le Verbier Festival a acquis rapidement une réputation d?excellence artistique. Il est maintenant considéré comme un événement incontournable du calendrier des grands festivals de musique européens. Depuis le 18 juillet, et jusqu’au 3 août, les plus grandes stars de la musique classique se donnent rendez-vous dans le cadre enchanteur des Alpes suisses. [...]

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT Graphisme par Exclusive Network
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
www.outilsgratuits.com www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2008