小王是一名DBA�,他發(fā)現(xiàn)公司數(shù)據(jù)庫里的數(shù)據(jù)最近突然被盜了,這讓他又詫異又無奈����。這個數(shù)據(jù)庫最近才剛用安全掃描軟件檢查過,并且按照報告把所有補丁都打上了�,怎么還會出事呢?在進一步排查中����,排除了“內(nèi)鬼”、誤操作等原因外�,只好將矛頭指向黑客�����,是不是黑客使用了什么官方未發(fā)現(xiàn)的0day漏洞進行的入侵���?
然而���,真相卻是:數(shù)據(jù)庫被植入了后門。
根據(jù)研究發(fā)現(xiàn)��,全球信息泄露事件中�����,被黑客組織利用漏洞使用頻率研究發(fā)現(xiàn),黑客組織使用排名前十的數(shù)據(jù)庫漏洞均已被官方修復(fù)��,并且官方都已經(jīng)公布來了出過補丁和修復(fù)方案�����。但是在生產(chǎn)環(huán)境如果要對數(shù)據(jù)庫進行修復(fù)或者中打一個補丁操作����,需要一系列復(fù)雜的測試,才能確保對數(shù)據(jù)庫打補丁之后補丁打上之后�,不會對整個生產(chǎn)系統(tǒng)造成任何無法預(yù)計的影響。而恰恰就在對數(shù)據(jù)庫打補丁之前這個測試的時間段里���,黑客有了可乘之機�����。很多黑客組織會在數(shù)據(jù)庫漏洞爆出的第一時間官方發(fā)布補丁后的第一時間��,進行二進制比對����,從中找出漏洞,編寫攻擊腳本��,對未打補丁的數(shù)據(jù)庫進行攻擊����。這其實就是一個時間差問題。
黑客入侵真相
了解到這個真相之后����,小王又產(chǎn)生疑問了:我數(shù)據(jù)丟的時間節(jié)點,是在我打補丁之后��,上面的理論說不通?���?!其實,是小王不是很了解黑客的攻擊流程而已�����,黑客組織遠比想象的狡猾���,他們絕不會在攻破之后馬上就盜取數(shù)據(jù)�,而是先植入后門,以后再利用后門來展開文件監(jiān)控��、機器控制�����、數(shù)據(jù)盜取等一系列操作行為��。
在一場完整的黑客組織入侵過程中����,黑客組織會通過網(wǎng)站未修補的漏洞、操作系統(tǒng)未修補的漏洞和操作系統(tǒng)上某些軟件未修補的漏洞�,進行一系列組合攻擊,最終達到控制數(shù)據(jù)庫或操作系統(tǒng)的目的�。尤其有政府或財團支持的黑客組織,不會急于盜取數(shù)據(jù)庫中的敏感信息快速變現(xiàn)���,而在目標數(shù)據(jù)庫中進行長期潛伏�����,一方面等待敏感信息價值和量級的成長��,另一方面要摸清整個網(wǎng)絡(luò)����、系統(tǒng)的防護架構(gòu)和審計能力,防止在盜取敏感數(shù)據(jù)時��,留下特征和證據(jù)����,甚至被對方發(fā)現(xiàn)。黑客入侵流程圖見下圖:
通常����,黑客第一次潛入會充分利用各種未修補的漏洞,但目標系統(tǒng)會定期打補丁���,所以導(dǎo)致一些漏洞不能再被利用����。為了從一開始就杜絕這種現(xiàn)象�����,黑客首次入侵數(shù)據(jù)庫后會在庫中植入后門���,這是黑客組織能長期穩(wěn)定入侵數(shù)據(jù)庫的關(guān)鍵��。
漏洞+后門+Rootkit技術(shù)= 高級的滲透攻擊手段
后門本身有多種形式��,可能是DBA賬號����,可能是存儲過程��、函數(shù)�����、視圖等����。后門為黑客的后續(xù)入侵提供了方便之門,但后門本身是可以被一些專業(yè)的數(shù)據(jù)庫掃描軟件(例如DBScan)發(fā)現(xiàn)的����。為了能夠?qū)⒑箝T隱藏起來不被發(fā)現(xiàn),出現(xiàn)了一種技術(shù)叫做rootkit (Rootkit本意是使用root權(quán)限的工具集���,但在本文中的意思是幫助Backdoor躲避檢查的技術(shù))�����,Rootkit就像給后門套上了一層隱身衣���,防止被安全掃描軟件發(fā)現(xiàn)�����。
利用漏洞可以讓黑客攻入目標系統(tǒng)內(nèi)部�,奪取數(shù)據(jù)庫權(quán)限���,利用后門則為黑客后續(xù)攻擊提供了一扇可任意出入的門����,Rootkit則像一件隱形外衣���,保護后門不被安全工具發(fā)現(xiàn)��。漏洞����、后門和Rootkit三者聯(lián)合組成高級滲透攻擊的常用手段�����。由此看見���,解決安全問題不只是應(yīng)對漏洞問題(按時打補丁即可)那么簡單了�����,更重要的是解決后門和Rootkit的問題���。雖然Rootkit具備了隱藏后門的能力,但DBScan優(yōu)于一般掃描類安全產(chǎn)品的地方之一正在于可以識破Rootkit�,發(fā)現(xiàn)后門。
成熟的黑客組織會采用多種Rootkit技術(shù)來隱藏數(shù)據(jù)庫后門��,如果對Rootkit這種技術(shù)不夠了解����,是無法研發(fā)出能識破“隱身”后門的數(shù)據(jù)庫安全掃描軟件。下面就跟隨安華金和攻防實驗室來對Rootkit技術(shù)做深入地了解:
下圖為安華金和攻防實驗室針對Rootkit技術(shù)進行的簡單梳理����,按照該技術(shù)的隱藏效果和實施難度可以分成四類:裸奔自救技術(shù)、數(shù)據(jù)庫級Rootkit技術(shù)�、操作系統(tǒng)級Rootkit技術(shù)和內(nèi)存級Rootkit技術(shù)���。
四種Rootkit技術(shù)應(yīng)用場景
四種Rootkit技術(shù)中,若只針對數(shù)據(jù)庫的后門����,一般多采用裸奔自救技術(shù)或數(shù)據(jù)庫級Rootkit技術(shù)。這是由于這兩種技術(shù)不像操作系統(tǒng)級Rootkit技術(shù)需要比較高的操作系統(tǒng)權(quán)限���。一旦黑客拿到操作系統(tǒng)權(quán)限����,就不會只植入數(shù)據(jù)庫后門這么簡單了�,一定會有操作系統(tǒng)后門存在。所以如果發(fā)現(xiàn)黑客使用了操作系統(tǒng)級Rootkit技術(shù)�,在使用數(shù)據(jù)庫安全掃描軟件掃描的同時,一定還要使用操作系統(tǒng)的掃描軟件進行安全檢測����。
內(nèi)存級Rootkit是四類技術(shù)中操作難度最為復(fù)雜,同時也最難以被發(fā)現(xiàn)的���,���,但這種技術(shù)也有個致命傷���,就是一旦數(shù)據(jù)庫重啟,內(nèi)存級Rootkit也就隨之被清空了���,這就難以確保后門能夠穩(wěn)定且長期存在,所以黑客只會在某些特定階段使用該技術(shù)�����,而難以廣泛使用
裸奔自救技術(shù)或數(shù)據(jù)庫級Rootkit技術(shù)���,則易于實施���,需要的權(quán)限只局限在數(shù)據(jù)庫中,能夠提供一定強度的后門隱藏效果��,是黑客最常用的技巧����。
一起對抗黑客入侵
未來,我們會逐漸公開一些具體的Rootkit技術(shù)解決方法����,幫助各位DBA解決一些實際問題�。如果需要全面的后門和Rootkit解決方案�,可以選擇安華金和成熟的數(shù)據(jù)庫掃描產(chǎn)品DBScan,一并幫您解決復(fù)雜的后門和Rootkit問題��。解開Rootkit的外衣��,捉出隱藏后門����,清除數(shù)據(jù)庫安全隱患。
產(chǎn)品咨詢:4000 258 365 
