上個(gè)月�,918搏天堂關(guān)注比特幣勒索事件,分析數(shù)據(jù)庫被勒索的原理���,下一次�,也許不是比特幣��。數(shù)據(jù)庫勒索事件����,918搏天堂有對(duì)策。
背景
數(shù)據(jù)勒索這一黑客技術(shù)在2013年開始爆發(fā)�,無數(shù)用戶深受其害,勒索軟件將用戶的數(shù)據(jù)文件進(jìn)行加密����,如果不繳納贖金這些文件將無法使用。然而���,一波未平,一波又起��。勒索軟件已經(jīng)將魔掌伸向了數(shù)據(jù)庫。
近日�,諸多企業(yè)DBA發(fā)現(xiàn)他們所管理的Oracle數(shù)據(jù)庫無法訪問,并且在報(bào)錯(cuò)頁面上提示著“您的數(shù)據(jù)庫已經(jīng)被鎖定�,如需恢復(fù)請發(fā)送5個(gè)比特幣到指定賬戶”。從提示中����,我們可以很清晰的看出,這并不是數(shù)據(jù)庫發(fā)生的常規(guī)故障����,而是被專業(yè)黑客將數(shù)據(jù)庫鎖定了!
918搏天堂針對(duì)本次數(shù)據(jù)庫勒索事件進(jìn)行了全面分析�����,將整個(gè)勒索的過程進(jìn)行了還原��,我們發(fā)現(xiàn)整個(gè)勒索過程分為以下幾個(gè)步驟:
1���、風(fēng)險(xiǎn)散播
整個(gè)勒索過程的源頭是黑客組織向互聯(lián)網(wǎng)各大技術(shù)論壇投放了經(jīng)過“改動(dòng)”的PL SQL Developer軟件程序����,該程序是做Oracle運(yùn)維必備的客戶端工具���,只要安裝了該經(jīng)“改動(dòng)”版本的PL SQL Developer程序���,那么就預(yù)示著你已經(jīng)成為了被索的對(duì)象�。
2����、風(fēng)險(xiǎn)潛伏
經(jīng)過“改動(dòng)”的PL SQL Developer軟件程序內(nèi)置一些惡意的腳本,這些惡意代碼不會(huì)馬上爆發(fā)����,而是一直潛伏在數(shù)據(jù)庫運(yùn)維人員的終端環(huán)境中。這些惡意代碼會(huì)判斷當(dāng)前受感染的數(shù)據(jù)庫實(shí)例從創(chuàng)建時(shí)間那天到現(xiàn)在是否大于1200天����,如果不滿足則一直潛伏,如果滿足則執(zhí)行勒索代碼�。(時(shí)間越長,數(shù)據(jù)就越多���,用戶就越心切)
3����、風(fēng)險(xiǎn)爆發(fā)
勒索爆發(fā)后���,會(huì)根據(jù)當(dāng)前一系列條件判斷采用哪種攻擊方式��,一種是將tab$表內(nèi)容清空��,一種是將USER表內(nèi)容清空����,而結(jié)果都是一樣的�,數(shù)據(jù)庫無法正常連接了!
解決思路
通過上述分析��,我們可以得出結(jié)論��,即:受感染的PL SQL Developer向數(shù)據(jù)庫發(fā)起數(shù)據(jù)清除指令���,從而導(dǎo)致數(shù)據(jù)庫無法正常連接�����。
通過互聯(lián)網(wǎng)搜索此類攻擊行為如何解決�����,給出的答案基本都是采用官方的PL SQL Developer程序進(jìn)行運(yùn)維���,但我們非常清楚����,這種情況我們是無法規(guī)避的��,那么如何從技術(shù)角度有效的將這類問題規(guī)避呢���?
918搏天堂認(rèn)為要解決這類數(shù)據(jù)庫勒索行為�����,在解決眼下問題的同時(shí)�,還需通過技術(shù)手段防止勒索事件的再次襲擊���,所以應(yīng)該分兩步走:風(fēng)險(xiǎn)鏟除和防御布局��。
風(fēng)險(xiǎn)鏟除
要對(duì)當(dāng)前數(shù)據(jù)庫是否存在勒索潛伏隱患進(jìn)行全面檢查并將風(fēng)險(xiǎn)徹底鏟除�。
防御布局
與此同時(shí)�,針對(duì)勒索行為進(jìn)行主動(dòng)防御戰(zhàn)線的部署,防患于未然���。
在本方案中��,我們將根據(jù)上述的解決思路進(jìn)行方案的詳細(xì)闡述
著眼當(dāng)下 鏟除威脅
勒索特征全面檢查
潛在受到勒索的環(huán)境中��,有兩部分存在勒索特征���,一部分是受感染的數(shù)據(jù)庫客戶端工具,一部分則是受感染的數(shù)據(jù)庫,所以需要通過專業(yè)的數(shù)據(jù)庫掃描工具進(jìn)行全面的檢查���。
1����、數(shù)據(jù)庫運(yùn)維環(huán)境檢查
全面檢查運(yùn)維終端上的數(shù)據(jù)庫運(yùn)維工具運(yùn)行環(huán)境��,針對(duì)各類數(shù)據(jù)庫客戶端工具(PL SQL Developer��、SQL Plus�、Toad等)進(jìn)行詳細(xì)檢查, 準(zhǔn)確發(fā)現(xiàn)運(yùn)行環(huán)境中存在惡意勒索腳本或相關(guān)代碼��,在掃描結(jié)果中將呈現(xiàn)出檢查出來所有包含勒索代碼特征的文件位置��,管理員可以及時(shí)將這些文件粉碎�����。
2、數(shù)據(jù)庫惡意代碼檢查
全面檢查數(shù)據(jù)庫中存儲(chǔ)過程和觸發(fā)器中是否存在符合勒索特征的惡意代碼����,并將代碼內(nèi)容呈現(xiàn)在掃描結(jié)果中,管理員可以手動(dòng)將這一部分惡意代碼刪除���。
3���、數(shù)據(jù)庫安全缺陷檢查
勒索軟件的攻擊方式多種多樣,隨著時(shí)間推進(jìn)����,勒索軟件也不會(huì)不斷演變、變種����,那么很有可能會(huì)利用數(shù)據(jù)庫存在的安全缺陷發(fā)起新一輪的攻擊。所以需要對(duì)數(shù)據(jù)庫的安全漏洞進(jìn)行全面檢查�,通過掃描會(huì)對(duì)將數(shù)據(jù)庫現(xiàn)存所有漏洞以及數(shù)據(jù)庫現(xiàn)存一系列的不安全配置項(xiàng)(如,弱口令�、缺省配置、權(quán)限寬泛配置等)管理員可以針對(duì)這些漏洞掃描結(jié)果�����,進(jìn)行相應(yīng)的缺陷補(bǔ)救。
專業(yè)安服團(tuán)隊(duì)修復(fù)
918搏天堂具備專業(yè)的數(shù)據(jù)庫安全服務(wù)團(tuán)隊(duì)�,可通過現(xiàn)場服務(wù)的方式,人工對(duì)用戶的數(shù)據(jù)庫運(yùn)維���、應(yīng)用�����、數(shù)據(jù)等環(huán)節(jié)進(jìn)行全面的分析檢查及問題修復(fù)。
結(jié)合918搏天堂自研的安服配套工具(掃描類��、滲透類等)以及安服工程師的多年安防經(jīng)驗(yàn)����,對(duì)用戶的數(shù)據(jù)庫整體安全現(xiàn)狀進(jìn)行摸底,將所有問題剖析出來與用戶共同制定解決方案����。并可為用戶帶來數(shù)據(jù)庫運(yùn)維安全常識(shí)的培訓(xùn),提升運(yùn)維人員的安全意識(shí)��。
放眼未來 防御布局
被動(dòng)的防御總是彰顯不足�����,為了徹底杜絕數(shù)據(jù)庫勒索攻擊,我們需要通過多條防線的建立確保勒索行為進(jìn)不到數(shù)據(jù)庫��。
惡意攻擊防御
勒索軟件在經(jīng)過這一輪洗禮后��,諸多安全團(tuán)隊(duì)肯定會(huì)給出解決辦法�����,因此勒索軟件肯定會(huì)將勒索方式進(jìn)行改良��,而且很有可能會(huì)借用數(shù)據(jù)的漏洞攻擊以及SQL注入的手段發(fā)起新一輪的攻擊�����。因此我們需要建立健全的防御體系�����,防止勒索行為的發(fā)生����。
1、虛擬補(bǔ)丁防護(hù)
要想防御通過數(shù)據(jù)庫漏洞發(fā)起的攻擊行為��,我們都知道可以通過打上數(shù)據(jù)庫廠商發(fā)布的安全補(bǔ)丁的方式去解決。但是����,給數(shù)據(jù)庫打補(bǔ)丁,尤其是打安全類的補(bǔ)丁�����,所有的數(shù)據(jù)庫管理人員都心有余悸�,因?yàn)槭聦?shí)證明,在打完補(bǔ)丁后��,數(shù)據(jù)庫總會(huì)出現(xiàn)這樣那樣的問題�����,導(dǎo)致數(shù)據(jù)庫各種不穩(wěn)定���。
針對(duì)這種情況,918搏天堂提供虛擬補(bǔ)丁方案��,即將所有的漏洞補(bǔ)丁移植到數(shù)據(jù)庫安全防護(hù)系統(tǒng)中��,通過將數(shù)據(jù)庫防護(hù)系統(tǒng)串聯(lián)部署到運(yùn)維側(cè)與數(shù)據(jù)庫系統(tǒng)中間��,從將勒索軟件利用漏洞入侵的行為拒之門外。
2���、SQL注入防護(hù)
數(shù)據(jù)庫安全防護(hù)系統(tǒng)通過對(duì)SQL語句進(jìn)行注入特征描述�,完成對(duì)SQL注入行為的檢測���,從而防止勒索軟件通過SQL注入的方式感染數(shù)據(jù)庫����。系統(tǒng)提供缺省SQL注入特征庫��。
3��、加密腳本識(shí)別及解析
本次數(shù)據(jù)庫勒索過程中,黑客很狡猾的把注入到數(shù)據(jù)庫的惡意存儲(chǔ)過程及觸發(fā)器進(jìn)行了wrap加密(wrap為Oracle自帶的加密機(jī)制)����,在Oracle執(zhí)行這些代碼時(shí)會(huì)自動(dòng)把它們解密后再執(zhí)行。
為此���,918搏天堂提供wrap加密腳本識(shí)別及解析能力����,可準(zhǔn)確識(shí)別出提交到數(shù)據(jù)庫中的信息是否包含wrap加密標(biāo)志���,并可對(duì)帶有wrap加密標(biāo)志的請求進(jìn)行阻斷��;與此同時(shí)���,還可對(duì)經(jīng)過wrap加密后的信息進(jìn)行還原解析��,將加密后的信息解密成明文���,便于用戶了解這些惡意腳本中隱含的操作內(nèi)容。
精細(xì)運(yùn)維管控
目前的數(shù)據(jù)庫勒索軟件是通過刪除數(shù)據(jù)庫登錄驗(yàn)證信息的方式限制了用戶對(duì)數(shù)據(jù)庫的訪問請求�����,這種技術(shù)手段還略顯笨拙����。918搏天堂預(yù)言����,今后的數(shù)據(jù)庫勒索軟件一定會(huì)效仿文件勒索的方式,對(duì)數(shù)據(jù)庫表中數(shù)據(jù)進(jìn)行類似加密劫持�����,如果是這種方式的話修復(fù)的難度將會(huì)大大增加。
因此��,918搏天堂提供更為精細(xì)的管控方案�,用以應(yīng)對(duì)更為復(fù)雜的勒索方式。如果黑客想要達(dá)到對(duì)數(shù)據(jù)庫表數(shù)據(jù)篡改��,勢必會(huì)以運(yùn)維側(cè)為跳板發(fā)起攻擊�����,因?yàn)檫\(yùn)維側(cè)與數(shù)據(jù)庫中間的通道最“寬敞”���,這樣攻擊起來殺傷力最大�����。因此��,如果我們需要對(duì)篡改行為進(jìn)行精確防護(hù)����,必須要嚴(yán)格把守運(yùn)維側(cè)與數(shù)據(jù)庫之間這道關(guān)�。
通過建立運(yùn)維管控體系,將所有運(yùn)維行為標(biāo)準(zhǔn)化�,在這里我們提出數(shù)據(jù)庫運(yùn)維行為審批的理念��,即所有運(yùn)維人員如果想操作數(shù)據(jù)庫則必須通過審批����。在審批環(huán)節(jié)中�����,系統(tǒng)執(zhí)行“三查一構(gòu)”:
檢查風(fēng)險(xiǎn)威脅:檢查審批提交的語句是否包含勒索特征�,如果包含則自動(dòng)退回申請;
檢查語法語意:檢查審批提交的語句是否存在語法語義錯(cuò)誤�����,從而提高語句執(zhí)行準(zhǔn)確程度���;
檢查語句執(zhí)行:檢查運(yùn)維人員執(zhí)行的語句是否是當(dāng)時(shí)申請的語句����,如果不是則禁止執(zhí)行�����;
構(gòu)筑安全模型:隨著系統(tǒng)不斷的使用�,系統(tǒng)將會(huì)自動(dòng)學(xué)習(xí)從而對(duì)SQL語句的執(zhí)行進(jìn)行安全建模。
由此����,我們通過運(yùn)維管控體系的建立,關(guān)閉傳統(tǒng)運(yùn)維直達(dá)數(shù)據(jù)庫的通道���,從而拒絕了勒索軟件在暗中發(fā)送數(shù)據(jù)庫表數(shù)據(jù)篡改的請求�。為保障正常運(yùn)維行為的執(zhí)行�����,需通過標(biāo)準(zhǔn)化的窗口進(jìn)行運(yùn)維行為的發(fā)起�,通過審批環(huán)節(jié)對(duì)提交的語句進(jìn)行機(jī)器智能識(shí)別及人工判斷的方式,確保提交的語句對(duì)數(shù)據(jù)庫無害�����,進(jìn)而達(dá)到在不影響正常運(yùn)維的前提下���,確保了數(shù)據(jù)庫不被勒索軟件篡改的風(fēng)險(xiǎn)�。
產(chǎn)品咨詢:4000 258 365 
