近日,国内发生多起针对Oracle 数据库的勒索病毒案例,尤其是在医疗、教育和金融等行业,不少Oracle数据库遭受勒索病毒攻击。
勒索病毒详细信息
勒索代码捆绑在Oracle PL/SQL Dev软件中(网上下载的破解版),里面的一个文件Afterconnet.sql被黑客注入了病毒代码。一旦用户连接数据库,就会立即执行“Afterconnet.sql”中的代码,在用户的数据库中创建多个存储过程和触发器,并判断数据库创建时间是否大于1200天。如果大于等于1200天,重启数据库后会触发病毒触发器,加密并删除sys.tab$,导致用户无法访问数据库中所有的数据库对象集合(schema), 出现“你的数据库已经被SQL RUSH Team锁死,请发送5个比特币到xxxxxxxxxxx地址,….”等信息,并设置定时任务,如果在期限内不交赎金,就删除所有的表。具体提示信息如下:
由于该SQL RUSH Team的勒索病毒具备极强的破坏性和高隐蔽性,对国内大量使用Oracle数据库的企业危害较大。
山石网科解决方案
石网科数据库审计与防护解决方案,对Oracle数据库进行全面的监控审计和实时的访问控制,结合实际业务需求,提供专业的PL/SQL勒索防护策略,帮助运维人员及时有效的抵御该勒索病毒。
PL/SQL勒索防护策略:
部署山石网科数据库审计与防护系统,开启数据库防火墙模式(如果是审计模式仅可以对该勒索病毒进行行为威胁告警)→策略管理→添加策略【PL/SQL勒索防护】→根据业务需要选择添加如下两条规则:
1、限制创建PL/SQL勒索病毒相关触发器和存储过程
此为最针对性的防护策略,根据该勒索病毒的工作原理和过程,点对点防护,规则如下:
条件1:【特权操作】【启用】【包含】【create procedure、create trigger】;
条件2:【SQL关键字】【启用】【包含】
【 DBMS_SUPPORT_INTERNAL
DBMS_SUPPORT_INTERNAL
DBMS_SYSTEM_INTERNAL
DBMS_CORE_INTERNAL
DBMS_CORE_INTERNAL
DBMS_SYSTEM_INTERNALDBMS_CORE_INTERNAL
DBMS_STANDARD_FUN9】
2、限制PL/SQL工具创建存储过程和触发器
目前该勒索病毒仅存在于PL/SQL工具中,那我们可以将PL/SQL有威胁的存储过程和触发器进行访问控制,达到防御目的。规则(条件1和条件2)如下:
条件1:【客户端工具】【启用】【包含】【PL/SQL】
条件2:【特权操作】【启用】【包含】【create procedure、create trigger】
另:如果实际业务环境中不需要使用PL/SQL工具,或者不需要创建触发器和存储过程,我们也单独审计管控这两个功能,用以保障数据库业务安全可用。
合理化建议
安全是三分技术七分管理,要做到相对安全,我们还需要从管理和制度进行完善,对于本次勒索事件,我们的合理化建议如下:
-
采用正版软件,规避未知风险。
-
加强数据库的权限管控、生产环境和测试环境隔离,严格管控开发和运维工具。
-
加强信息安全管理意识,定期进行信息安全风险评估。
结语
本次发生的Oracle勒索事件,并不是一个新的勒索病毒变种,这两年陆陆续续已经有多起相同事件发生,但是各企业的相关人员并没有引起足够重视,数据安全防范工作仍有缺陷。希望通过本次勒索事件的发生,再次提醒大家提高安全防范意识,做好数据防护和备份策略,应对隐藏在网络世界中的不法分子。
来源:freebuf.com 2018-11-19 17:28:56 by: Hillstone
请登录后发表评论
注册