夜已深
銷售老魏的電話突然響起
鈴聲仿佛比往日急促
是曾經(jīng)拜訪過(guò)的一家客戶���,對(duì)方是運(yùn)維主管
老魏趕緊接起來(lái)
未來(lái)得及問(wèn)候和寒暄
對(duì)方第一句話是
“我們的數(shù)據(jù)庫(kù)啟動(dòng)不了了����。����。����,我們被AfterConnection數(shù)據(jù)庫(kù)病毒感染了”
數(shù)次重啟后仍然無(wú)法正常工作
問(wèn)題一直解決不了,我們的業(yè)務(wù)訪問(wèn)受到很大影響……
這個(gè)����,能找專家?guī)兔鉀Q嗎�?
掛了電話��,老魏馬上撥通了攻防實(shí)驗(yàn)室的電話
當(dāng)晚��,安全專家遠(yuǎn)程接入用戶現(xiàn)場(chǎng)
嘗試進(jìn)行技術(shù)還原�����,找到事件原因
用戶現(xiàn)場(chǎng)報(bào)錯(cuò)如下
綜合用戶10046 event跟蹤的結(jié)果和從system表空間數(shù)據(jù)文件抽取tab$表的結(jié)果
可以初步判斷客戶數(shù)據(jù)庫(kù)無(wú)法啟動(dòng)是由于tab$中數(shù)據(jù)被清空導(dǎo)致
通常���,數(shù)據(jù)庫(kù)在啟動(dòng)階段會(huì)做一致性檢查
其中會(huì)去tab$中找尋obj$指定的對(duì)象
一旦找不到會(huì)導(dǎo)致一致性檢查中的語(yǔ)句執(zhí)行錯(cuò)誤
最后展現(xiàn)出數(shù)據(jù)庫(kù)啟動(dòng)失敗
根據(jù)對(duì)obj$記錄的研究發(fā)現(xiàn)
客戶數(shù)據(jù)庫(kù)中存在3個(gè)惡意存儲(chǔ)過(guò)程和2個(gè)惡意觸發(fā)器
惡意觸發(fā)器中存在startup型觸發(fā)器
只要啟動(dòng)數(shù)據(jù)庫(kù)就會(huì)執(zhí)行指定的存儲(chǔ)過(guò)程���,執(zhí)行惡意命令
從而對(duì)數(shù)據(jù)庫(kù)進(jìn)行破壞
啟動(dòng)中觀察到tab$數(shù)據(jù)被清空就是其中一個(gè)惡意存儲(chǔ)過(guò)程所為
整個(gè)惡意攻擊過(guò)程還原后
現(xiàn)場(chǎng)搶救
攻防實(shí)驗(yàn)室建議用戶三種解決方案:
方案一:
用dul工具將Oracle數(shù)據(jù)文件中的應(yīng)用數(shù)據(jù)導(dǎo)出
新建庫(kù)
再將數(shù)據(jù)導(dǎo)入
方案二:
四步走
第一步,恢復(fù)tab$數(shù)據(jù)啟動(dòng)數(shù)據(jù)庫(kù)成功�。
第二步,刪除數(shù)據(jù)庫(kù)中存在的惡意存儲(chǔ)過(guò)程和觸發(fā)器���。
第三步����,破解加密的惡意存儲(chǔ)過(guò)程,從中找出還有哪些破壞數(shù)據(jù)庫(kù)的地方予以修復(fù)���。
第四步,有針對(duì)性的部署安全設(shè)備防止類似事件再次發(fā)生�。
進(jìn)過(guò)激烈的討論,方案二雖然更為迅速���,但方案一更為保險(xiǎn)����,用方案一吧
深夜���,漸漸過(guò)去�。�����。�。
清晨7點(diǎn),用戶數(shù)據(jù)終于恢復(fù)正常���,哈8點(diǎn)上班前�,可以正常開(kāi)工了��、
結(jié)束?
NO���!
現(xiàn)場(chǎng)應(yīng)急雖然結(jié)束���,危險(xiǎn)還在隱藏,但安全人的天責(zé)����,讓我們還要繼續(xù),休息2小時(shí)�,繼續(xù)。��。�����。�����。
兵分兩路
A隊(duì):攻防實(shí)驗(yàn)室安全專家
任務(wù):對(duì)惡意程序進(jìn)行更深入的腳本分析��,形成詳細(xì)材料
B隊(duì):技術(shù)工程師
任務(wù):出發(fā)前往用戶現(xiàn)場(chǎng),詳細(xì)了解用戶系統(tǒng)結(jié)構(gòu)及安全風(fēng)險(xiǎn)點(diǎn)
A�、B兩隊(duì)實(shí)時(shí)信息對(duì)稱、進(jìn)行事件復(fù)盤
事情發(fā)生第三天
用戶收到來(lái)自918搏天堂數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室全方位技術(shù)分析����,
包括整個(gè)事件的技術(shù)還原及防范此類攻擊的解決方案
攻擊行為的深度分析
經(jīng)過(guò)918搏天堂數(shù)據(jù)庫(kù)安全專家分析,此次攻擊屬于數(shù)據(jù)庫(kù)惡意注入攻擊��,我們看到的很多數(shù)據(jù)庫(kù)勒索事件正是利用了這種方式����。
黑客在數(shù)據(jù)庫(kù)工具或數(shù)據(jù)庫(kù)安裝包/升級(jí)包中加入惡意代碼��。數(shù)據(jù)庫(kù)管理員不慎使用感染了惡意代碼的客戶端工具或升級(jí)包��,來(lái)操作或升級(jí)數(shù)據(jù)庫(kù)�����,惡意代碼就會(huì)被夾帶進(jìn)入數(shù)據(jù)庫(kù)中��。這些惡意代碼往往是存儲(chǔ)過(guò)程+觸發(fā)器的組合形式���,當(dāng)權(quán)限足夠�����,它們會(huì)產(chǎn)生阻止正常用戶訪問(wèn)數(shù)據(jù)庫(kù)��、刪除轉(zhuǎn)移關(guān)鍵數(shù)據(jù)等惡劣行為�����。比較惡劣的行徑是���,黑客以用戶數(shù)據(jù)或恢復(fù)數(shù)據(jù)庫(kù)為交換條件����,威脅用戶支付贖金�����,達(dá)到勒索目的�����,這類惡意注入也就是我們所說(shuō)的勒索病毒攻擊了��。但本次沒(méi)有人要求贖金���,應(yīng)該屬于非利益訴求的惡意攻擊�����。
針對(duì)這種病毒攻擊的感染源�,我們繼續(xù)展開(kāi)分析:
惡意攻擊行為的分類
從攻擊行為和攻擊路徑不同,可以將惡意攻擊行為分為兩類����。從攻擊行為來(lái)看,又可以分為阻止數(shù)據(jù)庫(kù)正常使用和刪除轉(zhuǎn)移關(guān)鍵表信息兩大類��。
1)第一類:阻止數(shù)據(jù)庫(kù)正常使用
常見(jiàn)方法有二:1��、直接破壞數(shù)據(jù)庫(kù)系統(tǒng)表�,導(dǎo)致數(shù)據(jù)庫(kù)無(wú)法正常啟動(dòng)����。遭遇該情形,數(shù)據(jù)將徹底無(wú)法啟動(dòng)��,給用戶帶來(lái)巨大影響����。就大部分樣例來(lái)看�,即使是勒索目的�����,支付贖金后勒索者也很可能沒(méi)辦法真正恢復(fù)�����。建議用戶遇到這種情況不要輕信對(duì)方���。2�����、調(diào)用死循環(huán)存儲(chǔ)過(guò)程無(wú)限彈出窗體�,阻止用戶正常登錄數(shù)據(jù)庫(kù)���。這種方式主要在數(shù)據(jù)庫(kù)圖形化界面客戶端上使用�����,并且一般只能阻礙低權(quán)限用戶登錄�;DBA等高權(quán)限用戶可以強(qiáng)行登錄成功�����,因此只要高權(quán)限用戶登錄后刪除觸發(fā)器即可破解。
2)第二類:刪除和轉(zhuǎn)移關(guān)鍵表信息
常見(jiàn)的也有兩類�。1、對(duì)表內(nèi)信息進(jìn)行轉(zhuǎn)存后清空表��。查找新建的�����、名字怪異的表就可能找到被攻擊者清除的數(shù)據(jù)���,把數(shù)據(jù)導(dǎo)回即可�����。2、直接清空表��,并未存儲(chǔ)��。如果是這種情況的勒索攻擊���,即便用戶支付了贖金�����,勒索者也無(wú)法將數(shù)據(jù)還給用戶����。
現(xiàn)實(shí)中,攻擊者往往多種手法共用�。大多情況是先出現(xiàn)一個(gè)問(wèn)題,用戶貿(mào)然切成SYS用戶登錄數(shù)據(jù)庫(kù)處理���,結(jié)果雖然解決了一部分惡意觸發(fā)器和存儲(chǔ)過(guò)程���,但同時(shí)也激活了更多更危險(xiǎn)的惡意觸發(fā)器和存儲(chǔ)過(guò)程。因此����,用戶如果遭遇此類數(shù)據(jù)庫(kù)惡意攻擊或勒索事件,請(qǐng)先備份數(shù)據(jù)表空間文件���,再嘗試進(jìn)行處理�����,防止擴(kuò)大對(duì)數(shù)據(jù)庫(kù)造成的損害����。
上面是從攻擊行為來(lái)區(qū)分,從攻擊路徑來(lái)看��,還可分為遠(yuǎn)程攻擊和本地攻擊����。
1)第一類:遠(yuǎn)程攻擊
其中,遠(yuǎn)程攻擊的比例比本地攻擊更多����。遠(yuǎn)程攻擊主要來(lái)自于各種數(shù)據(jù)庫(kù)工具中的自動(dòng)執(zhí)行腳本。例如plsql dev中的login.sql和afterconnect.sql ;toad中的toad.ini���;sqlplus 中的glogin.sql和login.sql等��。建議一定使用來(lái)自官方的工具����,且使用前檢查上述腳本文件的內(nèi)容����。
2)第二類:本地攻擊
本地攻擊則多是由于數(shù)據(jù)庫(kù)系統(tǒng)的安裝包或升級(jí)包被植入了惡意代碼���。在數(shù)據(jù)庫(kù)安裝或升級(jí)過(guò)程中���,惡意存儲(chǔ)過(guò)程或觸發(fā)器已被帶入數(shù)據(jù)庫(kù)�。所以���,建議安裝包和升級(jí)包務(wù)必從數(shù)據(jù)庫(kù)廠商官網(wǎng)下載����。
本次原因事件分析:
而本次事件�,根據(jù)用戶的追查,尚未在多臺(tái)運(yùn)維設(shè)備上發(fā)現(xiàn)有遠(yuǎn)程攻擊注入腳本�;對(duì)于安裝包和升級(jí)包是否存在問(wèn)題,尚未明確����,需要進(jìn)一步觀察。由于無(wú)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品�,也無(wú)法明確攻擊來(lái)源了路徑。
至此����,該事件還需要進(jìn)一步的了解與觀察,由于近年來(lái),以數(shù)據(jù)庫(kù)為目標(biāo)的攻擊事件明顯增加�����,且越來(lái)越多的以勒索財(cái)產(chǎn)為主要目的����,這種事件呈現(xiàn)越來(lái)越廣泛的趨勢(shì)。因此我們將對(duì)這些攻擊的行為階段和所能采取的防護(hù)措施進(jìn)行進(jìn)一步的分析����,以幫助DBA們和用戶迎接這種挑戰(zhàn),減少數(shù)據(jù)資產(chǎn)的損失���。
數(shù)據(jù)庫(kù)病毒攻擊和發(fā)作的三個(gè)階段
從階段劃分����,數(shù)據(jù)庫(kù)惡意攻擊會(huì)經(jīng)歷三個(gè)階段:感染期�、潛伏期和發(fā)作期。如果能夠提前進(jìn)行數(shù)據(jù)庫(kù)安全防護(hù)的建設(shè)��,能夠較好的應(yīng)對(duì)此類攻擊事件�,有效降低企業(yè)面臨的惡性影響。
在感染期����,首先是感染源的接觸,在這個(gè)階段病毒會(huì)利用網(wǎng)上的免費(fèi)維護(hù)工具或安裝包或升級(jí)包�����,潛伏在這些免費(fèi)產(chǎn)品中�,用戶將數(shù)據(jù)庫(kù)通過(guò)這些免費(fèi)產(chǎn)品進(jìn)行訪問(wèn)或暗轉(zhuǎn)或升級(jí),將感染上數(shù)據(jù)庫(kù)病毒�。
潛伏期:待數(shù)據(jù)庫(kù)被感染后,病毒通過(guò)觸發(fā)器等隱藏在數(shù)據(jù)庫(kù)內(nèi)部�,然后依據(jù)數(shù)據(jù)庫(kù)運(yùn)行事件或時(shí)間,進(jìn)行病毒危害觸發(fā)�。
發(fā)作期:一旦爆發(fā),會(huì)利用觸發(fā)器和存儲(chǔ)過(guò)程對(duì)數(shù)據(jù)庫(kù)的關(guān)鍵位置進(jìn)行破壞�。
防護(hù)手段建議
1)感染期
數(shù)據(jù)庫(kù)被感染惡意程序主要通過(guò)兩種途徑:數(shù)據(jù)庫(kù)客戶端和數(shù)據(jù)庫(kù)升級(jí)包。數(shù)據(jù)庫(kù)升級(jí)包在官網(wǎng)有標(biāo)注的MD5值�。請(qǐng)用戶一定計(jì)算MD5值,防止使用帶有惡意代碼的升級(jí)包�����,升級(jí)數(shù)據(jù)庫(kù)���。數(shù)據(jù)庫(kù)客戶端由于配置文件的復(fù)雜性和后期DBA的二次開(kāi)發(fā)�,雖然可以依賴MD5值,但往往效果不好�����。用戶可以在網(wǎng)絡(luò)中對(duì)數(shù)據(jù)庫(kù)包中的內(nèi)容和特征進(jìn)行甄別�,阻斷具有惡意注入特征的數(shù)據(jù)包即可阻斷此處的攻擊。
惡意攻擊的最佳防護(hù)時(shí)機(jī)是阻斷感染路徑�����,在潛伏期消除惡意程序的影響����,如果拖到發(fā)作后,雖然有解決辦法�,但很可能已經(jīng)造成數(shù)據(jù)資產(chǎn)損失。
解決方案:數(shù)據(jù)庫(kù)防火墻+數(shù)據(jù)庫(kù)審計(jì)
通過(guò)部署數(shù)據(jù)庫(kù)防火墻發(fā)現(xiàn)和切斷感染路徑���,經(jīng)過(guò)對(duì)多樣本特征的分析���,以及樣本格式的理解,我們建議用戶使用具備能讀懂sql和能解密加密數(shù)據(jù)庫(kù)兩項(xiàng)能力的數(shù)據(jù)庫(kù)防火墻�。其中,能解密����、加密數(shù)據(jù)庫(kù)即可以對(duì)如Oracle采用的密文存儲(chǔ)過(guò)程進(jìn)行解密操作�����,另外,如果第三方工具向數(shù)據(jù)庫(kù)發(fā)送大量加密包形式的數(shù)據(jù)�,也只有準(zhǔn)確破解加密包才能為語(yǔ)法分析做好準(zhǔn)備。如果不能解決解密問(wèn)題����,最終只能對(duì)加密的惡意存儲(chǔ)過(guò)程進(jìn)行指紋比對(duì),這種方法誤報(bào)率和漏報(bào)率都很高����。
另一方面,能讀懂sql語(yǔ)句是指基于sql語(yǔ)法解析��,聯(lián)系上下文理解存儲(chǔ)過(guò)程或包中是否存在惡意行為�����。在unwrap的支撐下數(shù)據(jù)庫(kù)防火墻能把所有去向數(shù)據(jù)庫(kù)的加密存儲(chǔ)過(guò)程明文化����,再通過(guò)sql語(yǔ)法分析器對(duì)明文進(jìn)行惡意行為的匹配���。數(shù)據(jù)庫(kù)防火墻不是單純的就單句sql進(jìn)行行為分析,而是根據(jù)上下文環(huán)境的sql行為對(duì)整個(gè)sql語(yǔ)句包進(jìn)行分析�����。當(dāng)其中存在命中安全規(guī)則的多個(gè)必要點(diǎn)時(shí)��,可以判斷該語(yǔ)句包存在惡意行為�����,語(yǔ)句包會(huì)被阻斷�,并向相關(guān)人員進(jìn)行告警。
數(shù)據(jù)庫(kù)防火墻攔截下惡意數(shù)據(jù)包后��,再通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)記錄的詳細(xì)數(shù)據(jù)包流向信息�,定位出惡意數(shù)據(jù)包來(lái)自哪里,幫助用戶在海量設(shè)備中快速定位安全問(wèn)題發(fā)生點(diǎn)����,為用戶能找到勒索病毒源頭,徹底修復(fù)安全問(wèn)題提供依據(jù)���。此外����,數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠提供同樣的惡意程序識(shí)別,區(qū)別于數(shù)據(jù)庫(kù)防火墻的是�,旁路部署的審計(jì)系統(tǒng)是在發(fā)現(xiàn)病毒后,以實(shí)時(shí)告警的方式提醒用戶注意�,那么,至于防火墻還是審計(jì)更合適�����,需要依據(jù)用戶的業(yè)務(wù)系統(tǒng)要求來(lái)選擇��。
2)潛伏期
惡意程序感染數(shù)據(jù)庫(kù)后會(huì)計(jì)算數(shù)據(jù)庫(kù)運(yùn)行時(shí)間�����,通過(guò)時(shí)間來(lái)判斷自己繼續(xù)潛伏還是爆發(fā)��。常見(jiàn)的數(shù)據(jù)庫(kù)攻擊樣本潛伏期為1-4年�����。這期間數(shù)據(jù)庫(kù)雖然已被感染�,但并不會(huì)受其影響�����。所以該階段是清除病毒的好時(shí)機(jī)。建議用戶加強(qiáng)數(shù)據(jù)庫(kù)上存儲(chǔ)過(guò)程和觸發(fā)器的檢查�����,及時(shí)清除潛在的惡意隱患����。
解決方案:數(shù)據(jù)庫(kù)漏掃+技術(shù)服務(wù)
當(dāng)用戶錯(cuò)過(guò)了在感染路徑上阻斷惡勒索病毒的機(jī)會(huì),建議用戶定期使用有檢測(cè)數(shù)據(jù)庫(kù)勒索病毒功能的數(shù)據(jù)庫(kù)漏掃工具��,對(duì)數(shù)據(jù)庫(kù)進(jìn)行定期檢查��,爭(zhēng)取在潛伏期徹底消滅勒索病毒�。原理是用戶給掃描工具sysdba權(quán)限,掃描工具深入基表��,利用特征庫(kù)中的特征對(duì)觸發(fā)器�、存儲(chǔ)過(guò)程、包等進(jìn)行逐項(xiàng)檢測(cè)����,一旦發(fā)現(xiàn)異常會(huì)在最終的報(bào)告中生成詳細(xì)的描述以及具體的修復(fù)建議,在這個(gè)過(guò)程中���,可尋求專業(yè)的數(shù)據(jù)庫(kù)安全企業(yè)提供咨詢服務(wù)���,幫助排查病毒�����,以及提供相應(yīng)的安全服務(wù)�,清楚惡意程序�����。
3)發(fā)作期
一旦時(shí)機(jī)成熟(滿足惡意程序發(fā)作的條件),被注入的病毒將開(kāi)始對(duì)數(shù)據(jù)庫(kù)展開(kāi)攻擊:阻止數(shù)據(jù)庫(kù)正常使用���、刪除有價(jià)值數(shù)據(jù)���、阻礙合法用戶正常登錄。此階段相對(duì)最難處理�����,可惜大部分用戶直到這個(gè)階段才發(fā)現(xiàn)數(shù)據(jù)庫(kù)被感染��,倒也不是沒(méi)辦法補(bǔ)救,可以通過(guò)數(shù)據(jù)庫(kù)文件進(jìn)行問(wèn)題定位���,嘗試恢復(fù)用戶數(shù)據(jù)和清除惡意觸發(fā)器和存儲(chǔ)過(guò)程���。雖然防范大于治療,但由于種種原因大部分用戶是在勒索病毒爆發(fā)后才發(fā)現(xiàn)����。爆發(fā)后由于不同勒索病毒對(duì)數(shù)據(jù)庫(kù)的影響以及觸發(fā)的條件各不相同,沒(méi)法給出統(tǒng)一解決方案�����。但建議用戶����,第一時(shí)間備份數(shù)據(jù)庫(kù)文件;盡量不要嘗試變更登錄方式或?qū)?shù)據(jù)庫(kù)進(jìn)行操作��,避免觸發(fā)更多的惡意觸發(fā)器和調(diào)用更多的惡意存儲(chǔ)過(guò)程�,對(duì)數(shù)據(jù)庫(kù)造成二次、三次傷害�。
解決方案:尋求技術(shù)服務(wù)
發(fā)作后,為了將損失降到最低,需要及時(shí)尋找安全咨詢及服務(wù)團(tuán)隊(duì)����,最短時(shí)間內(nèi)排查問(wèn)題��、清除病毒��、進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)����,并提出有效的安全加固方案。
協(xié)同防護(hù)體系
綜上����,我們建議用戶建設(shè)有效的安全防護(hù)體系來(lái)抵御惡意攻擊�����,同時(shí)�����,多種技術(shù)手段的組合也能夠形成良好的協(xié)同配合效果。
數(shù)據(jù)庫(kù)漏掃+數(shù)據(jù)庫(kù)防火墻/數(shù)據(jù)庫(kù)審計(jì)
數(shù)據(jù)庫(kù)漏掃可基于授權(quán)檢測(cè)方式針對(duì)數(shù)據(jù)庫(kù)中異常包���、存儲(chǔ)過(guò)程�、觸發(fā)器�、各項(xiàng)參數(shù)以及后門的檢測(cè)語(yǔ)句��,對(duì)已知威脅進(jìn)行檢查�����,及時(shí)排除數(shù)據(jù)庫(kù)隱患��。
數(shù)據(jù)庫(kù)防火墻利用解密技術(shù)和sql分析技術(shù)��,依托上下文sql語(yǔ)境����,動(dòng)態(tài)抓出存在惡意行為的語(yǔ)句包���,進(jìn)行實(shí)施攔截�。
數(shù)據(jù)庫(kù)漏掃側(cè)重已知隱患掃描����,數(shù)據(jù)庫(kù)防火墻側(cè)重特征隱患攔截和告警�����,雙方既是相互獨(dú)立的也是相互聯(lián)動(dòng)的��。數(shù)據(jù)庫(kù)防火墻攔截到一個(gè)新型隱患���,數(shù)據(jù)庫(kù)漏掃則根據(jù)這個(gè)新型的特征更新掃描檢測(cè)項(xiàng);數(shù)據(jù)庫(kù)漏掃發(fā)現(xiàn)安全隱患�����,則數(shù)據(jù)庫(kù)防火墻根據(jù)隱患特征更新防護(hù)策略�����,優(yōu)化已有安全策略����,進(jìn)一步降低誤報(bào)率。
五�����、一些可行的安全建議
除了建設(shè)安全防護(hù)體系��,數(shù)據(jù)庫(kù)管理人員在日常運(yùn)維中也需要謹(jǐn)慎操作���。保守來(lái)說(shuō)��,如果做到以下幾點(diǎn)����,你可以避免至少50%的數(shù)據(jù)庫(kù)惡意攻擊�����,:
1.不要在非官方途徑下載數(shù)據(jù)庫(kù)相關(guān)工具�,如數(shù)據(jù)庫(kù)安裝和升級(jí)包;
2.經(jīng)常檢查數(shù)據(jù)庫(kù)鏈接工具的腳本是否正常�;
3.使用最小權(quán)限原則�,盡可能降低給Oracle用戶的權(quán)限,如限制創(chuàng)建存儲(chǔ)過(guò)程或觸發(fā)器等��。
PS:針對(duì)本次數(shù)據(jù)庫(kù)惡意攻擊事件����,為防止其他用戶中招�����,918搏天堂能夠提供攻擊驗(yàn)證腳本和檢查腳本���,用戶可及時(shí)自查防范。
下載地址:http://dbsec.cn/upload/prvtsupp.zip
產(chǎn)品咨詢:4000 258 365 
