前文說到
黑客是無視法律、不擇手段的“趨利主義者”��,為了“收益最大化”,他們自然也會(huì)精心挑選“獵物”����。而數(shù)據(jù)庫(kù)作為裝滿大量高價(jià)值數(shù)據(jù)的“倉(cāng)庫(kù)”,怎么可能會(huì)被黑客放過���?下面就讓我們一起來看看,黑客是怎么對(duì)數(shù)據(jù)庫(kù)發(fā)動(dòng)的勒索攻擊��,并由安華金和攻防實(shí)驗(yàn)室為您揭秘:
針對(duì)數(shù)據(jù)庫(kù)的勒索攻擊
黑客在對(duì)云上數(shù)據(jù)庫(kù)和內(nèi)網(wǎng)數(shù)據(jù)庫(kù)發(fā)動(dòng)勒索攻擊時(shí)采取了截然不同的手段:
1�、針對(duì)云上數(shù)據(jù)庫(kù)
以MongoDB數(shù)據(jù)庫(kù)為例,由于其在默認(rèn)安裝下無密碼���,只要知道IP和端口就可以進(jìn)行訪問�,因此黑客能夠完全采用自動(dòng)化腳本發(fā)起勒索攻擊��,而攻擊主要分為兩個(gè)階段:
第一階段:掃描準(zhǔn)備
如圖紅線部分所示��,黑客利用腳本在數(shù)以億計(jì)的IPv4上對(duì)27017端口(MongoDB安裝后的默認(rèn)通訊端口)進(jìn)行批量掃描��,并通過指紋識(shí)別目標(biāo)IP是否存在MongoDB數(shù)據(jù)庫(kù)�����;如果識(shí)別發(fā)現(xiàn)存在MongoDB數(shù)據(jù)庫(kù),便會(huì)進(jìn)一步嘗試登錄���;如果登錄也成功�����,則把IP記錄在可入侵列表中�,準(zhǔn)備在第二階段“使用”���。
第二階段:發(fā)動(dòng)攻擊
如圖藍(lán)線部分所示�,當(dāng)黑客獲得足夠多的可入侵IP后���,將實(shí)際啟動(dòng)勒索攻擊��。黑客首先通過自動(dòng)化腳本從可入侵列表中批量取出IP地址�,再利用PyMongo登錄目標(biāo)數(shù)據(jù)庫(kù)��,并通過MongoDBdurp將數(shù)據(jù)下載到指定服務(wù)器�����;之后���,黑客只需要?jiǎng)h除數(shù)據(jù)庫(kù)中的數(shù)據(jù)���,并插入比特幣勒索信息���,就可以“坐等”贖金到賬了。更令人氣憤的是���,在很多比特幣勒索攻擊案件中,犯案黑客根本沒有轉(zhuǎn)移數(shù)據(jù)��,而是直接將數(shù)據(jù)刪除了���;如此一來���,即便受害者支付了贖金,也不可能取回?cái)?shù)據(jù)����。
不過類似上述全自動(dòng)化的勒索攻擊,往往需要目標(biāo)數(shù)據(jù)庫(kù)廣泛存在安全漏洞或配置錯(cuò)誤�。如果用戶能做到以足夠的安全標(biāo)準(zhǔn)來配置數(shù)據(jù)庫(kù)或及時(shí)主動(dòng)地升級(jí)數(shù)據(jù)庫(kù),“中招”的概率會(huì)小很多��。
2、針對(duì)內(nèi)網(wǎng)數(shù)據(jù)庫(kù)
以O(shè)racle數(shù)據(jù)庫(kù)為例���,針對(duì)內(nèi)網(wǎng)數(shù)據(jù)庫(kù)的勒索攻擊不再像云上是經(jīng)由掃描發(fā)現(xiàn)數(shù)據(jù)庫(kù)���,而是將惡意代碼隱藏在數(shù)據(jù)庫(kù)運(yùn)維工具之中以感染目標(biāo)。例如:在Oracle知名工具PL SQL Developer中加入惡意代碼——惡意代碼在伴隨PL SQL Developer訪問數(shù)據(jù)庫(kù)后��,能夠根據(jù)用戶權(quán)限及環(huán)境情況采取不同的勒索攻擊路線(詳見下圖):
紅線:如果能拿到SYS用戶��,就直接對(duì)系統(tǒng)表下手���,把系統(tǒng)表轉(zhuǎn)存到其他地方�,再刪除原系統(tǒng)表以威脅用戶支付比特幣贖金�;
綠線:如果只能拿到一般賬號(hào),就采用鎖賬號(hào)的方式阻止用戶訪問數(shù)據(jù)庫(kù)����,進(jìn)而實(shí)施勒索;
紫線:如果只能拿到DBA賬號(hào)����,就采取刪除所有非系統(tǒng)表的方式實(shí)施勒索。
此外����,在發(fā)動(dòng)勒索攻擊前�,部分惡意代碼還會(huì)對(duì)目標(biāo)數(shù)據(jù)庫(kù)的創(chuàng)建時(shí)間進(jìn)行判斷��,以確保勒索的每一個(gè)數(shù)據(jù)庫(kù)都是有價(jià)值的��;而當(dāng)發(fā)現(xiàn)目標(biāo)數(shù)據(jù)庫(kù)創(chuàng)建時(shí)間較短時(shí)�,惡意代碼則會(huì)潛伏下來,等到目標(biāo)數(shù)據(jù)庫(kù)積累到足夠多的有價(jià)數(shù)據(jù)后再發(fā)動(dòng)勒索攻擊����;與此同時(shí),還會(huì)利用編碼技術(shù)躲避數(shù)據(jù)庫(kù)掃描類工具對(duì)惡意代碼的檢查���,以確保不會(huì)在潛伏階段被受害方發(fā)現(xiàn)等等。
數(shù)據(jù)庫(kù)勒索攻擊防護(hù)建議
近年來�,以比特幣為目標(biāo)的勒索攻擊不斷瞄準(zhǔn)數(shù)據(jù)庫(kù),無論是“亂槍打鳥”的云上勒索攻擊����,還是“定點(diǎn)打擊”的內(nèi)網(wǎng)勒索攻擊,都值得引起數(shù)據(jù)庫(kù)安全工作者的警惕——除了警告用戶注意垃圾郵件����、惡意廣告�����,以及定期備份數(shù)據(jù)���、重視數(shù)據(jù)庫(kù)安全配置并使用高強(qiáng)度口令外,安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室建議:
1.建立“定期安全探查+預(yù)先防護(hù)”的雙重保障�����,針對(duì)“定點(diǎn)打擊”型勒索攻擊存在潛伏期這一特征���,在其攻擊行為真正發(fā)動(dòng)之前�����,揪出潛伏在數(shù)據(jù)庫(kù)中的威脅��;
2.務(wù)必使用正規(guī)的數(shù)據(jù)庫(kù)運(yùn)維工具����;
3.平時(shí)做好數(shù)據(jù)備份(尤其是關(guān)鍵數(shù)據(jù))�;
4.定期更新各種安全策略庫(kù);
5.不接入未經(jīng)安全管控的設(shè)備��,比如BYOD、U盤等���。
數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)(漏掃)的授權(quán)檢測(cè)中有專門針對(duì)數(shù)據(jù)庫(kù)異常包�、存儲(chǔ)過程���、觸發(fā)器�����、各項(xiàng)參數(shù)以及后門程序的檢查策略���,可以幫助用戶提早發(fā)現(xiàn)潛在的安全威脅,準(zhǔn)確發(fā)現(xiàn)數(shù)據(jù)庫(kù)是否被勒索軟件入侵��,并向用戶提供修復(fù)建議等���。
但是,僅僅依賴于數(shù)據(jù)庫(kù)漏掃的定期巡檢還是遠(yuǎn)遠(yuǎn)不夠的���。漏掃能夠發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅�����,對(duì)于未知安全威脅的探查能力則有所不足���,這就需要具備“能讀懂sql和能解密數(shù)據(jù)庫(kù)協(xié)議包”兩項(xiàng)能力的數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)����。
部署應(yīng)用以上數(shù)據(jù)安全產(chǎn)品���,可從不同層面與角度實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)勒索攻擊的防護(hù)——通過數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)對(duì)安全隱患進(jìn)行攔截�����,再由數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)(漏掃)根據(jù)這個(gè)安全隱患的特征對(duì)掃描檢測(cè)項(xiàng)進(jìn)行更新���;如果數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)未能發(fā)現(xiàn)安全隱患,但數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)(漏掃)發(fā)現(xiàn)了安全隱患��,則可根據(jù)其特征對(duì)已有安全防護(hù)策略進(jìn)行優(yōu)化��、更新����,從而進(jìn)一步降低誤報(bào)率。
綜上三篇所述�����,當(dāng)前以比特幣為目標(biāo)的勒索攻擊,呈現(xiàn)出攻擊手段日益復(fù)雜����、攻擊對(duì)象覆蓋廣泛、攻擊目標(biāo)轉(zhuǎn)向數(shù)據(jù)庫(kù)等一系列演進(jìn)趨勢(shì)和特征�����;需要通過部署專業(yè)�、可靠、高效的安全產(chǎn)品和設(shè)備�����,構(gòu)建多角度��、立體化的完整防護(hù)體系����,進(jìn)行事前����、事中����、事后的全面防護(hù)��。
【完整閱讀】
讀·解 | 細(xì)數(shù)比特幣勒索攻擊(一)
讀·解 | 細(xì)數(shù)比特幣勒索攻擊(二)
【了解更多】
安華金和數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)
安華金和數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)
安華金和數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng)
產(chǎn)品咨詢:4000 258 365 
