前言
各位小伙伴們��,今天咱們接著聊Oracle Rootkits的話題����。這是Oracle Rootkits系列文章的第三篇。相信大部分小伙伴已經(jīng)對(duì)數(shù)據(jù)庫后門和Rootkits技術(shù)有了一定的認(rèn)識(shí)���。上次給大家介紹了Oracle Rootkits第一式“裸奔”�,(插入鏈接)文中主要介紹了三種入侵者常用的手法�����,以及破解方式。第一式主要在存儲(chǔ)過程�����、觸發(fā)器組成的Oracle Rootkits中使用廣泛����。目標(biāo)就是窮盡一切辦法隱藏不法分子在數(shù)據(jù)庫中創(chuàng)建的惡意存儲(chǔ)過程、函數(shù)�����、觸發(fā)器等���。這種方式多用于針對(duì)數(shù)據(jù)庫的勒索軟件中���。
數(shù)據(jù)庫后門除了藏在存儲(chǔ)過程、函數(shù)����、觸發(fā)器之中,更常見的是����,在數(shù)據(jù)庫中埋入一組DBA用戶��。不法分子可以利用這組DBA用戶隨時(shí)“合法”奪取數(shù)據(jù)庫中的敏感數(shù)據(jù)�����。要在數(shù)據(jù)庫中隱藏一個(gè)DBA用戶����,通常就會(huì)用到數(shù)據(jù)庫級(jí)的RootKit技術(shù)�,我們稱其為Oracle Rootkits的第二式“躲貓貓”。
“躲貓貓”主要解決兩個(gè)核心問題:
1.躲誰���?
2怎么躲?
咱們以隱藏一組DBA用戶HACKER躲避小王(DBA)檢查為例��。(這種方法還可以隱藏存儲(chǔ)過程�、函數(shù)、進(jìn)程等)小王利用DBA檢查腳本對(duì)數(shù)據(jù)庫DBA用戶進(jìn)行統(tǒng)計(jì)�����,防止DBA用戶數(shù)量和內(nèi)容發(fā)生變化��。檢查DBA的腳本獲取DBA用戶信息主要來自視圖DBA_USERS或ALL_USERS�����。為了簡(jiǎn)化描述,我們就假定訪問的是視圖ALL_USERS�。至此第一個(gè)問題有了答案,為了防止小王發(fā)現(xiàn)黑客加入的新DBA用戶HACKER��,黑客就要想辦法防止ALL_USERS查詢出HACKER用戶���。
接下來����,我們需要解決第二個(gè)問題��,首先要找出ALL_USERS的結(jié)構(gòu)中哪部分是薄弱點(diǎn)��,并可能被黑客所利用���。ALL_USERS視圖的內(nèi)容如下圖:
整個(gè)視圖就是以基表sys.user$和sys.ts$為基礎(chǔ)����,在一定條件下進(jìn)行語句查詢���。黑客多從where的判斷條件入手���,這樣對(duì)ALL_USERS影響最小���,也較難被發(fā)現(xiàn)。于是沿著修改where判斷條件的思路:黑客主要采取兩種辦法:
1. 偷天換日—假冒ALL_USERS
2. 假道伐虞—修改判斷條件
偷天換日
這種思路的核心是在原來where條件的基礎(chǔ)上添加更多的限制條件����,使黑客建立的HACKER用戶滿足限制條件,從而不被查詢出來��。例如在判斷條件中添加 and u.name != ‘HACKER’防止查詢讀出HACKER用戶����。
具體過程需要黑客利用拿到的數(shù)據(jù)庫權(quán)限,重建視圖ALL_USERS���,并刪除或關(guān)閉審計(jì)記錄。這種偷天換日的方法��,可以讓黑客悄無聲息的將自己改造過的ALL_USERS替換掉系統(tǒng)真正的ALL_USERS�,且該方式在足夠權(quán)限的支持下操作起來簡(jiǎn)單、便捷��,對(duì)技術(shù)要求較低,但同時(shí)被發(fā)現(xiàn)的幾率也略高�,即便黑客將操作記錄刪除凈盡,也可能會(huì)被具備查詢木馬能力的數(shù)據(jù)庫安全掃描產(chǎn)品揪出其中的問題���。ALL_USERS的內(nèi)容和大小的改變會(huì)有多種方式發(fā)現(xiàn)ALL_USERS變化和問題����,于是很多黑客就采用更隱蔽的手法——假道伐虞��。
假道伐虞
這種思路本質(zhì)也是在where條件上動(dòng)手腳��,但方向和“偷天換日”截然不同����。 “假道伐虞”是在不改變ALL_USERS的前提下,通過破壞where判斷條件�����,來防止HACKER被查詢出來��。ALL_USERS的查詢條件有三條��,如果HACKER不滿足三個(gè)條件中的任意一條就不可能被查詢出來���。
where u.datats# = dts.ts#
and u.tempts# = tts.ts#
and u.type# = 1;
ALL_users中列出的用戶需要滿足 sys.user$.datats = sys.ts$.ts#���。如果該等式不成立�,那hacker就顯示不出來��。DATATS#中的數(shù)值一般在0-4之間�����,使用update語句對(duì)hacker用戶進(jìn)行調(diào)整���,將其DATATS#改為1337����,超出0-4的范圍內(nèi)���,使得sys.user$.datats = sys.ts$.ts#等式無法成立�����,從而查詢不到HACKER,但HACKER依舊存在�。下圖紅線部分明顯顯示�����,雖然HACKER已經(jīng)查詢不到�,但依舊可以用HACKER進(jìn)行登錄��。
注意上圖在執(zhí)行“UPDATE SYS.USER$ SET DATATS#=1337 WHERE NAME = 'HACKER' ”之后��,再通過ALL_users已經(jīng)無法發(fā)現(xiàn)HACKER用戶了�����,但如果此時(shí)登錄��,HACKER用戶依舊可以用來登錄�����,并且還是DBA用戶權(quán)限�。這種方式比第一種“偷天換日”要隱蔽得多。即便有審計(jì)記錄�����,如果對(duì)數(shù)據(jù)庫不是很熟悉���,也未必會(huì)把修改數(shù)據(jù)和有用戶隱藏聯(lián)系起來����。借著SYS.USER$的道巧妙的破壞了ALL_users的查詢條件,幫助HACKER用戶實(shí)現(xiàn)隱身��。
解決方案
驗(yàn)證自家數(shù)據(jù)庫被入侵與否�,先別著急去挨個(gè)數(shù)據(jù)庫翻ALL_users, Oracle中類似ALL_users的視圖有不少����,例如v$session, gv_$session, flow_sessions, v_$process等都存在類似的風(fēng)險(xiǎn),并且第二種方式壓根沒有修改視圖�����,翻也翻不出東西���。下面安華金和數(shù)據(jù)庫攻防實(shí)驗(yàn)室的專家給大家支招����,告訴你如何檢查自家數(shù)據(jù)庫是否已經(jīng)被這種方式所入侵����。
第一種方式檢查的關(guān)鍵是變化?����?梢酝ㄟ^前后hash值比對(duì)來發(fā)現(xiàn)哪些視圖�����、存儲(chǔ)過程�、觸發(fā)器等hash值發(fā)生了變化。在排除黑客改動(dòng)后���,建議建立一組關(guān)鍵視圖�、存儲(chǔ)過程���、觸發(fā)器的hash值列表�,一旦hash值發(fā)生變化�,就要提高警惕,很可能是黑客所為���。
第二種方式的檢查原理是發(fā)現(xiàn)異常用戶����。在不同的基表、視圖中去查詢用戶�����,經(jīng)過相互對(duì)比���,如果有的用戶在有些表中存在���,而有些表中不存在,那么���,這類用戶很可能就是使用第二種方式隱藏的用戶���。面對(duì)異常用戶,可以用如下語句檢查:
select username from v$pwfile_users where username not in ('INTERNAL')
minus
select name from sys.user$ where type# > 0
尋找數(shù)據(jù)庫中潛伏的后門是一種比較復(fù)雜的工作���,而且很多部分需要根據(jù)目標(biāo)和環(huán)境采用不同的方式����,所以�����,建議把這項(xiàng)工作交給專業(yè)的公司,使用專業(yè)的產(chǎn)品�����。在破解上述兩種后門方面�����,安華金和的數(shù)據(jù)庫漏洞掃描產(chǎn)品有過不少實(shí)踐��,幫助破解后門使用的上述隱身技術(shù)�����,通過多種獨(dú)有技術(shù)揪出潛伏在數(shù)據(jù)庫中的安全威脅�。
產(chǎn)品咨詢:4000 258 365 
