小王是一名DBA���,他發(fā)現(xiàn)公司數(shù)據(jù)庫里的數(shù)據(jù)最近突然被盜了��,這讓他又詫異又無奈�。這個數(shù)據(jù)庫最近才剛用安全掃描軟件檢查過,并且按照報告把所有補(bǔ)丁都打上了�,怎么還會出事呢?在進(jìn)一步排查中�,排除了“內(nèi)鬼”、誤操作等原因外���,只好將矛頭指向黑客��,是不是黑客使用了什么官方未發(fā)現(xiàn)的0day漏洞進(jìn)行的入侵���?
然而,真相卻是:數(shù)據(jù)庫被植入了后門����。
根據(jù)研究發(fā)現(xiàn),全球信息泄露事件中�����,被黑客組織利用漏洞使用頻率研究發(fā)現(xiàn)����,黑客組織使用排名前十的數(shù)據(jù)庫漏洞均已被官方修復(fù)��,并且官方都已經(jīng)公布來了出過補(bǔ)丁和修復(fù)方案�。但是在生產(chǎn)環(huán)境如果要對數(shù)據(jù)庫進(jìn)行修復(fù)或者中打一個補(bǔ)丁操作�����,需要一系列復(fù)雜的測試����,才能確保對數(shù)據(jù)庫打補(bǔ)丁之后補(bǔ)丁打上之后��,不會對整個生產(chǎn)系統(tǒng)造成任何無法預(yù)計的影響�。而恰恰就在對數(shù)據(jù)庫打補(bǔ)丁之前這個測試的時間段里,黑客有了可乘之機(jī)��。很多黑客組織會在數(shù)據(jù)庫漏洞爆出的第一時間官方發(fā)布補(bǔ)丁后的第一時間��,進(jìn)行二進(jìn)制比對��,從中找出漏洞����,編寫攻擊腳本,對未打補(bǔ)丁的數(shù)據(jù)庫進(jìn)行攻擊�。這其實(shí)就是一個時間差問題�。
黑客入侵真相
了解到這個真相之后�����,小王又產(chǎn)生疑問了:我數(shù)據(jù)丟的時間節(jié)點(diǎn)����,是在我打補(bǔ)丁之后,上面的理論說不通?��?!其實(shí)��,是小王不是很了解黑客的攻擊流程而已���,黑客組織遠(yuǎn)比想象的狡猾���,他們絕不會在攻破之后馬上就盜取數(shù)據(jù),而是先植入后門�,以后再利用后門來展開文件監(jiān)控、機(jī)器控制����、數(shù)據(jù)盜取等一系列操作行為�。
在一場完整的黑客組織入侵過程中����,黑客組織會通過網(wǎng)站未修補(bǔ)的漏洞、操作系統(tǒng)未修補(bǔ)的漏洞和操作系統(tǒng)上某些軟件未修補(bǔ)的漏洞�����,進(jìn)行一系列組合攻擊����,最終達(dá)到控制數(shù)據(jù)庫或操作系統(tǒng)的目的���。尤其有政府或財團(tuán)支持的黑客組織�,不會急于盜取數(shù)據(jù)庫中的敏感信息快速變現(xiàn)��,而在目標(biāo)數(shù)據(jù)庫中進(jìn)行長期潛伏���,一方面等待敏感信息價值和量級的成長�����,另一方面要摸清整個網(wǎng)絡(luò)���、系統(tǒng)的防護(hù)架構(gòu)和審計能力���,防止在盜取敏感數(shù)據(jù)時,留下特征和證據(jù)���,甚至被對方發(fā)現(xiàn)��。黑客入侵流程圖見下圖:
通常�����,黑客第一次潛入會充分利用各種未修補(bǔ)的漏洞�����,但目標(biāo)系統(tǒng)會定期打補(bǔ)丁�,所以導(dǎo)致一些漏洞不能再被利用�����。為了從一開始就杜絕這種現(xiàn)象�,黑客首次入侵?jǐn)?shù)據(jù)庫后會在庫中植入后門,這是黑客組織能長期穩(wěn)定入侵?jǐn)?shù)據(jù)庫的關(guān)鍵。
漏洞+后門+Rootkit技術(shù)= 高級的滲透攻擊手段
后門本身有多種形式�����,可能是DBA賬號���,可能是存儲過程�����、函數(shù)�����、視圖等。后門為黑客的后續(xù)入侵提供了方便之門�,但后門本身是可以被一些專業(yè)的數(shù)據(jù)庫掃描軟件(例如DBScan)發(fā)現(xiàn)的。為了能夠?qū)⒑箝T隱藏起來不被發(fā)現(xiàn)��,出現(xiàn)了一種技術(shù)叫做rootkit (Rootkit本意是使用root權(quán)限的工具集���,但在本文中的意思是幫助Backdoor躲避檢查的技術(shù))�����,Rootkit就像給后門套上了一層隱身衣��,防止被安全掃描軟件發(fā)現(xiàn)����。
利用漏洞可以讓黑客攻入目標(biāo)系統(tǒng)內(nèi)部,奪取數(shù)據(jù)庫權(quán)限��,利用后門則為黑客后續(xù)攻擊提供了一扇可任意出入的門�,Rootkit則像一件隱形外衣,保護(hù)后門不被安全工具發(fā)現(xiàn)���。漏洞���、后門和Rootkit三者聯(lián)合組成高級滲透攻擊的常用手段。由此看見���,解決安全問題不只是應(yīng)對漏洞問題(按時打補(bǔ)丁即可)那么簡單了��,更重要的是解決后門和Rootkit的問題�。雖然Rootkit具備了隱藏后門的能力�����,但DBScan優(yōu)于一般掃描類安全產(chǎn)品的地方之一正在于可以識破Rootkit,發(fā)現(xiàn)后門����。
成熟的黑客組織會采用多種Rootkit技術(shù)來隱藏數(shù)據(jù)庫后門,如果對Rootkit這種技術(shù)不夠了解�����,是無法研發(fā)出能識破“隱身”后門的數(shù)據(jù)庫安全掃描軟件��。下面就跟隨安華金和攻防實(shí)驗(yàn)室來對Rootkit技術(shù)做深入地了解:
下圖為安華金和攻防實(shí)驗(yàn)室針對Rootkit技術(shù)進(jìn)行的簡單梳理�����,按照該技術(shù)的隱藏效果和實(shí)施難度可以分成四類:裸奔自救技術(shù)�����、數(shù)據(jù)庫級Rootkit技術(shù)��、操作系統(tǒng)級Rootkit技術(shù)和內(nèi)存級Rootkit技術(shù)�����。
四種Rootkit技術(shù)應(yīng)用場景
四種Rootkit技術(shù)中�����,若只針對數(shù)據(jù)庫的后門���,一般多采用裸奔自救技術(shù)或數(shù)據(jù)庫級Rootkit技術(shù)��。這是由于這兩種技術(shù)不像操作系統(tǒng)級Rootkit技術(shù)需要比較高的操作系統(tǒng)權(quán)限���。一旦黑客拿到操作系統(tǒng)權(quán)限,就不會只植入數(shù)據(jù)庫后門這么簡單了�����,一定會有操作系統(tǒng)后門存在����。所以如果發(fā)現(xiàn)黑客使用了操作系統(tǒng)級Rootkit技術(shù),在使用數(shù)據(jù)庫安全掃描軟件掃描的同時���,一定還要使用操作系統(tǒng)的掃描軟件進(jìn)行安全檢測�����。
內(nèi)存級Rootkit是四類技術(shù)中操作難度最為復(fù)雜���,同時也最難以被發(fā)現(xiàn)的��,��,但這種技術(shù)也有個致命傷�����,就是一旦數(shù)據(jù)庫重啟���,內(nèi)存級Rootkit也就隨之被清空了,這就難以確保后門能夠穩(wěn)定且長期存在��,所以黑客只會在某些特定階段使用該技術(shù)�����,而難以廣泛使用
裸奔自救技術(shù)或數(shù)據(jù)庫級Rootkit技術(shù)�,則易于實(shí)施,需要的權(quán)限只局限在數(shù)據(jù)庫中���,能夠提供一定強(qiáng)度的后門隱藏效果,是黑客最常用的技巧����。
一起對抗黑客入侵
未來�����,我們會逐漸公開一些具體的Rootkit技術(shù)解決方法��,幫助各位DBA解決一些實(shí)際問題��。如果需要全面的后門和Rootkit解決方案�����,可以選擇安華金和成熟的數(shù)據(jù)庫掃描產(chǎn)品DBScan���,一并幫您解決復(fù)雜的后門和Rootkit問題。解開Rootkit的外衣�����,捉出隱藏后門��,清除數(shù)據(jù)庫安全隱患��。
產(chǎn)品咨詢:4000 258 365 
