摘要: 前文曾提到,勒索软件横扫各大数据库,造成了巨大的损失。本文在复杂多样的勒索软件类型和攻击方式中,选择了Oracle数据库和比特币勒索,进行具体、详细的说明和分析。 先来看勒索软件攻击Oracle数据库事件。是这样的,有用户后台使用oracle数据库的业务系统...
前文曾提到,勒索软件横扫各大数据库,造成了巨大的损失。本文在复杂多样的勒索软件类型和攻击方式中,选择了Oracle数据库和比特币勒索,进行具体、详细的说明和分析。
先来看勒索软件攻击Oracle数据库事件。是这样的,有用户后台使用oracle数据库的业务系统,在遭受病毒感染后,勒索软件跳出类似提示框,进行勒索,一般会有如下提示:
就是让你交赎金,然后给你解药,恢复系统。否则,攻击会导致系统业务用户被锁、表格被删、数据库数据字典表异常等后果。
感染是如何发生的?
感染源头,一般感染源为受感染的运维工具,本次为PL/SQL Develeper,非官渠道下载或者绿色版下载。
病毒攻击的目标人群为oracle运维开发人员,攻击对象为数据库系统的tab$等数据字典表、业务用户表格,攻击操作为delete、truncate、drop等删除操作。
大致感染过程如下:
1.运维人员下载受感染的运维工具。
2.运维人员使用中毒的运维软件连接数据库(超级用户或者业务用户)。
3.登录后,中毒软件会执行一段登录sql,使oracle数据库系统中毒。
4.oracle数据库系统中毒后,病毒会根据预先设置好的判断条件触发。
5.病毒爆发后,数据库系统表格、业务用户表格遭受感染,被删除或修改。
6.正常业务系统被迫中断。
7.前台跳出勒索提示,需缴纳比特币。
感染发生时,能做什么?
当感染发生、病毒爆发,到了业务中断才发现时,往往已经处于非常被动的救火时期。作为运维人员,应对此种突发事件,能做的首要工作是恢复数据,使业务恢复,删除病毒或者防范病毒再次爆发。
恢复数据方面。根据删除操作的不同,采用不同的恢复办法。其中,最有效且可靠的恢复方式就是通过备份。
此处需要几个前提条件:
你的备份系统有效吗?
你的备份系统做过恢复测试吗?
你的备份策略满足恢复要求吗?
你的备份系统恢复时间满足恢复要求吗?
病毒删除防范方面。一般此种数据库类嵌入式病毒,触发方式有触发器、定时job、业务驱动三种触发形式。
应对以上几种触发方式,可以进行如下操作:
1.查出系统中特权用户及业务用户的异常触发器,禁用或删除。
2.在无法确定异常触发器时,暴力的将系统触发器功能关闭。
3.查找系统及业务系统异常定时任务。
4.在无法确定异常定时任务时,将系统定时任务关闭。
防范于未然,怎么做?
当故障发生时才发现着实为时已晚,再怎么挽救,伤害、损失已经发生。那么,我们怎样防范于未然,做到事前及时发现、预防呢?
先从感染源来看:
本次病毒感染来源于受感染的运维工具,运维人员下载使用此类运维工具,而此时数据库在没有任何防范措施的情况下感染病毒。
对于此种感染,存在以下漏洞导致数据库感染:
1.运维流程不严
2.运维工具管控不严
3.运维平台不完善
4.DDL操作审核不严
针对以上问题,建议进行运维平台建设,运维终端管控,运维工具防假冒,DDL操作审核。运维平台的建立可以减少认证终端使用,降低感染工具进入的概率;防假冒功能可以对运维工具进行审核,判断是否为认证运维工具;DDL审核可以对创建触发器、存储过程的行为进行审核及管控,防止非法程序侵入。
再从过程的几个阶段来看:
1.非法侵入后,病毒爆发前。这一阶段,需要进行关键资产、代码的安全检查,扫描非法程序、高风险操作代码,及时排除险情。
非法入侵后,如果病毒爆发了,而你没有做关键资产管控,会造成伤害和损失。因此,要做好“管控”,建议建立健全关键资产管控,敏感资产管控,高风险操作管控,特权用户操作管控。(关键资产包含业务数据及相关程序代码,高风险操作有delete、truncate、drop等,特权用户如sys。对于此类的管控,将从根本上杜绝非法应用入侵后形成伤害的可能。)
2.当伤害形成时,需要尽最大可能将损失降到最低,建议建立健全灾备系统,相关备份策略、恢复测试流程、恢复测试案例。定期进行容灾演练、场景演练、恢复测试、入侵用例恢复测试,尽可能缩短恢复时间。
安全问题,重在防范。