1. 공격 흐름도

2. 공격 시나리오

A. Attachker(공격자)가 SQL.Slammer를 이용해 MS-SQL Server를 공격한다. 이때의 공격 포트는 UDP 1434(msql-m-monitor에서 이용)를 이용

B. 공격의 대상이 되는 MS-SQL Server는 다음의 일연의 작업을 수행한다.
i. Buffer Overrun 발생
ii. 멀티캐스트 주소범위내에서 랜덤한 무한 대상 주소 생성
iii. 생성된 멀티캐스트 IP 주소를 이용해 다음 공격 대상이 되는 MS-SQL을
iv. 찾기 위해 패킷 전송 (UDP 1434)

C. 일반 클라이언트 PC(윈도우 전계열)에 대한 멀티캐스팅 IP를 인식한 각 클라이언트 PC는 해당 IP에 해당되는 Reserve Resolution Address 처리를 위해 윈도우 NBT(NetBios over TCP/IP)의 name service와 관련된 137번 포트를 이용해 내부 캐쉬 및 Wins 서버 쿼리 시작

D. 내부 캐쉬 및 Wins 서버 쿼리 실패시 TCP/IP DNS를 이용하기 위한 쿼리 시작 (UDP 53번 포트)


3. 그림은 SQL.Slammer에 감염된 MS-SQL Server로부터 발생된 멀티캐스트 IP 패킷를 받은 컴퓨터가 IP 에 대한 Resolution을 위해 UDP 137번 포트 및 53번 포트를 이용하는 화면이다.

4. 관련 용어 설명

MS-SQL Server의 UDP 1434 이용한 Buffer Overrun

MS-SQL Server의 취약점중의 하나로 MS-SQL 확인 서비스(Resolution Service)를 위해 UDP-1434 포트를 이용하며 SQL.Slammer는 MS-SQL Server 의 UDP-1434 포트를 통해 정상적인 패킷보다 더 많은 양의 패킷을 보냄으로서 Buffer Overrun 을 발생시킴과 동시에 대상 MS-SQL Server의 해당 포트로 동일한 데이터를 전송하게 되며이때 소스 Address의 주소를 변경함으로써 MS-SQL Server 간의 계속적인 상호 데이터 전송을 일으킨다.

멀티캐스트 IP 주소와 이더넷 주소의 Mapping

멀티캐스트 방식은 하나의 호스트에서 다수의 호스트로 동일한 패킷 데이터를 동시에 보낼 필요가 있거나 (인터넷 방송, 화상 통신) BOOTP를 이용해 서버를 찾기 위해 사용되는 것으로 32Bit IP 주소를 23Bit 이더넷 주소로 변환하는 과정에서 IP 해드의 첫번째 4바이트 및 시작주소의 5바이트를 생략함으로서 IP 주소가 다를 경우에 대해서도 동일한 이더넷 주소를 가지는 것을 볼 수 있다.
멀티캐스트 주소는 인터닉의 관리대상에서 제외되는 224.0.0.0 ~ 239.255.255.255 까지로 예약되어 있으며 일부 IP는 별도 관리하기 위해 사용되고 있다.

137 포트를 이용한 NBT name service

NBT name service에서 사용된 UDP137 번 포트는 네트워크 상의 호스트명에 대한 인식을 위해 사용되는 포트로 일반적으로 윈도우는 다음의 처리 과정을 통해 NBT를 실행한다.
1) 자신의 캐쉬로부터 전달받은 IP를 구한다.
2) IP를 구하지 못했을 경우 Wins 서버등을 통해 쿼리를 진행한다.
3) Wins Server가 없을 경우 TCP/IP DNS 서버에 쿼리를 보낸다.