前文說到
黑客是無視法律、不擇手段的“趨利主義者”����,為了“收益最大化”,他們自然也會精心挑選“獵物”���。而數(shù)據(jù)庫作為裝滿大量高價值數(shù)據(jù)的“倉庫”,怎么可能會被黑客放過�����?下面就讓我們一起來看看�����,黑客是怎么對數(shù)據(jù)庫發(fā)動的勒索攻擊�,并由918搏天堂攻防實驗室為您揭秘:
針對數(shù)據(jù)庫的勒索攻擊
黑客在對云上數(shù)據(jù)庫和內(nèi)網(wǎng)數(shù)據(jù)庫發(fā)動勒索攻擊時采取了截然不同的手段:
1��、針對云上數(shù)據(jù)庫
以MongoDB數(shù)據(jù)庫為例���,由于其在默認(rèn)安裝下無密碼,只要知道IP和端口就可以進(jìn)行訪問��,因此黑客能夠完全采用自動化腳本發(fā)起勒索攻擊,而攻擊主要分為兩個階段:
第一階段:掃描準(zhǔn)備
如圖紅線部分所示��,黑客利用腳本在數(shù)以億計的IPv4上對27017端口(MongoDB安裝后的默認(rèn)通訊端口)進(jìn)行批量掃描���,并通過指紋識別目標(biāo)IP是否存在MongoDB數(shù)據(jù)庫;如果識別發(fā)現(xiàn)存在MongoDB數(shù)據(jù)庫����,便會進(jìn)一步嘗試登錄;如果登錄也成功�,則把IP記錄在可入侵列表中,準(zhǔn)備在第二階段“使用”�����。
第二階段:發(fā)動攻擊
如圖藍(lán)線部分所示���,當(dāng)黑客獲得足夠多的可入侵IP后�����,將實際啟動勒索攻擊��。黑客首先通過自動化腳本從可入侵列表中批量取出IP地址����,再利用PyMongo登錄目標(biāo)數(shù)據(jù)庫,并通過MongoDBdurp將數(shù)據(jù)下載到指定服務(wù)器����;之后,黑客只需要刪除數(shù)據(jù)庫中的數(shù)據(jù)���,并插入比特幣勒索信息�����,就可以“坐等”贖金到賬了。更令人氣憤的是�����,在很多比特幣勒索攻擊案件中��,犯案黑客根本沒有轉(zhuǎn)移數(shù)據(jù)����,而是直接將數(shù)據(jù)刪除了�����;如此一來,即便受害者支付了贖金����,也不可能取回數(shù)據(jù)�。
不過類似上述全自動化的勒索攻擊,往往需要目標(biāo)數(shù)據(jù)庫廣泛存在安全漏洞或配置錯誤�。如果用戶能做到以足夠的安全標(biāo)準(zhǔn)來配置數(shù)據(jù)庫或及時主動地升級數(shù)據(jù)庫,“中招”的概率會小很多�。
2、針對內(nèi)網(wǎng)數(shù)據(jù)庫
以O(shè)racle數(shù)據(jù)庫為例���,針對內(nèi)網(wǎng)數(shù)據(jù)庫的勒索攻擊不再像云上是經(jīng)由掃描發(fā)現(xiàn)數(shù)據(jù)庫,而是將惡意代碼隱藏在數(shù)據(jù)庫運(yùn)維工具之中以感染目標(biāo)����。例如:在Oracle知名工具PL SQL Developer中加入惡意代碼——惡意代碼在伴隨PL SQL Developer訪問數(shù)據(jù)庫后,能夠根據(jù)用戶權(quán)限及環(huán)境情況采取不同的勒索攻擊路線(詳見下圖):
紅線:如果能拿到SYS用戶��,就直接對系統(tǒng)表下手���,把系統(tǒng)表轉(zhuǎn)存到其他地方���,再刪除原系統(tǒng)表以威脅用戶支付比特幣贖金;
綠線:如果只能拿到一般賬號�����,就采用鎖賬號的方式阻止用戶訪問數(shù)據(jù)庫��,進(jìn)而實施勒索����;
紫線:如果只能拿到DBA賬號,就采取刪除所有非系統(tǒng)表的方式實施勒索�����。
此外�,在發(fā)動勒索攻擊前,部分惡意代碼還會對目標(biāo)數(shù)據(jù)庫的創(chuàng)建時間進(jìn)行判斷�����,以確保勒索的每一個數(shù)據(jù)庫都是有價值的;而當(dāng)發(fā)現(xiàn)目標(biāo)數(shù)據(jù)庫創(chuàng)建時間較短時,惡意代碼則會潛伏下來��,等到目標(biāo)數(shù)據(jù)庫積累到足夠多的有價數(shù)據(jù)后再發(fā)動勒索攻擊��;與此同時���,還會利用編碼技術(shù)躲避數(shù)據(jù)庫掃描類工具對惡意代碼的檢查�,以確保不會在潛伏階段被受害方發(fā)現(xiàn)等等����。
數(shù)據(jù)庫勒索攻擊防護(hù)建議
近年來,以比特幣為目標(biāo)的勒索攻擊不斷瞄準(zhǔn)數(shù)據(jù)庫��,無論是“亂槍打鳥”的云上勒索攻擊�����,還是“定點打擊”的內(nèi)網(wǎng)勒索攻擊��,都值得引起數(shù)據(jù)庫安全工作者的警惕——除了警告用戶注意垃圾郵件��、惡意廣告����,以及定期備份數(shù)據(jù)、重視數(shù)據(jù)庫安全配置并使用高強(qiáng)度口令外���,918搏天堂數(shù)據(jù)庫攻防實驗室建議:
1.建立“定期安全探查+預(yù)先防護(hù)”的雙重保障�,針對“定點打擊”型勒索攻擊存在潛伏期這一特征��,在其攻擊行為真正發(fā)動之前�,揪出潛伏在數(shù)據(jù)庫中的威脅�;
2.務(wù)必使用正規(guī)的數(shù)據(jù)庫運(yùn)維工具;
3.平時做好數(shù)據(jù)備份(尤其是關(guān)鍵數(shù)據(jù))��;
4.定期更新各種安全策略庫��;
5.不接入未經(jīng)安全管控的設(shè)備�,比如BYOD、U盤等�。
數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)的授權(quán)檢測中有專門針對數(shù)據(jù)庫異常包�、存儲過程、觸發(fā)器���、各項參數(shù)以及后門程序的檢查策略����,可以幫助用戶提早發(fā)現(xiàn)潛在的安全威脅,準(zhǔn)確發(fā)現(xiàn)數(shù)據(jù)庫是否被勒索軟件入侵�����,并向用戶提供修復(fù)建議等��。
但是,僅僅依賴于數(shù)據(jù)庫漏掃的定期巡檢還是遠(yuǎn)遠(yuǎn)不夠的����。漏掃能夠發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅,對于未知安全威脅的探查能力則有所不足���,這就需要具備“能讀懂sql和能解密數(shù)據(jù)庫協(xié)議包”兩項能力的數(shù)據(jù)庫安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫運(yùn)維管理系統(tǒng)����。
部署應(yīng)用以上數(shù)據(jù)安全產(chǎn)品��,可從不同層面與角度實現(xiàn)對數(shù)據(jù)庫勒索攻擊的防護(hù)——通過數(shù)據(jù)庫安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫運(yùn)維管理系統(tǒng)對安全隱患進(jìn)行攔截��,再由數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)根據(jù)這個安全隱患的特征對掃描檢測項進(jìn)行更新�����;如果數(shù)據(jù)庫安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫運(yùn)維管理系統(tǒng)未能發(fā)現(xiàn)安全隱患���,但數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)發(fā)現(xiàn)了安全隱患��,則可根據(jù)其特征對已有安全防護(hù)策略進(jìn)行優(yōu)化�����、更新�,從而進(jìn)一步降低誤報率����。
綜上三篇所述,當(dāng)前以比特幣為目標(biāo)的勒索攻擊�,呈現(xiàn)出攻擊手段日益復(fù)雜�����、攻擊對象覆蓋廣泛����、攻擊目標(biāo)轉(zhuǎn)向數(shù)據(jù)庫等一系列演進(jìn)趨勢和特征;需要通過部署專業(yè)�、可靠�、高效的安全產(chǎn)品和設(shè)備���,構(gòu)建多角度��、立體化的完整防護(hù)體系,進(jìn)行事前��、事中�����、事后的全面防護(hù)����。
【完整閱讀】
讀·解 | 細(xì)數(shù)比特幣勒索攻擊(一)
讀·解 | 細(xì)數(shù)比特幣勒索攻擊(二)
【了解更多】
918搏天堂數(shù)據(jù)庫安全評估系統(tǒng)
918搏天堂數(shù)據(jù)庫安全防護(hù)系統(tǒng)
918搏天堂數(shù)據(jù)庫運(yùn)維管理系統(tǒng)
產(chǎn)品咨詢:4000 258 365 
