大鸡巴在线草观看黄色片,国产精品你懂得在线观看,黄色录像日本女人吃大屌,在线观看国产h成人网站

?
您當前的位置 : 首頁 > 技術博客 > 數據安全
Oracle Rootkits——為后門披上隱形衣的暗黑高手
作者:思成 發布時間:2017-04-11

小王是一名DBA,他發現公司數據庫里的數據最近突然被盜了,這讓他又詫異又無奈。這個數據庫最近才剛用安全掃描軟件檢查過,并且按照報告把所有補丁都打上了,怎么還會出事呢?在進一步排查中,排除了“內鬼”、誤操作等原因外,只好將矛頭指向黑客,是不是黑客使用了什么官方未發現的0day漏洞進行的入侵?

然而,真相卻是:數據庫被植入了后門。

根據研究發現,全球信息泄露事件中,被黑客組織利用漏洞使用頻率研究發現,黑客組織使用排名前十的數據庫漏洞均已被官方修復,并且官方都已經公布來了出過補丁和修復方案。但是在生產環境如果要對數據庫進行修復或者中打一個補丁操作,需要一系列復雜的測試,才能確保對數據庫打補丁之后補丁打上之后,不會對整個生產系統造成任何無法預計的影響。而恰恰就在對數據庫打補丁之前這個測試的時間段里,黑客有了可乘之機。很多黑客組織會在數據庫漏洞爆出的第一時間官方發布補丁后的第一時間,進行二進制比對,從中找出漏洞,編寫攻擊腳本,對未打補丁的數據庫進行攻擊。這其實就是一個時間差問題。

黑客入侵真相

了解到這個真相之后,小王又產生疑問了:我數據丟的時間節點,是在我打補丁之后,上面的理論說不通啊!其實,是小王不是很了解黑客的攻擊流程而已,黑客組織遠比想象的狡猾,他們絕不會在攻破之后馬上就盜取數據,而是先植入后門,以后再利用后門來展開文件監控、機器控制、數據盜取等一系列操作行為。

在一場完整的黑客組織入侵過程中,黑客組織會通過網站未修補的漏洞、操作系統未修補的漏洞和操作系統上某些軟件未修補的漏洞,進行一系列組合攻擊,最終達到控制數據庫或操作系統的目的。尤其有政府或財團支持的黑客組織,不會急于盜取數據庫中的敏感信息快速變現,而在目標數據庫中進行長期潛伏,一方面等待敏感信息價值和量級的成長,另一方面要摸清整個網絡、系統的防護架構和審計能力,防止在盜取敏感數據時,留下特征和證據,甚至被對方發現。黑客入侵流程圖見下圖:

 3-1.jpg

通常,黑客第一次潛入會充分利用各種未修補的漏洞,但目標系統會定期打補丁,所以導致一些漏洞不能再被利用。為了從一開始就杜絕這種現象,黑客首次入侵數據庫后會在庫中植入后門,這是黑客組織能長期穩定入侵數據庫的關鍵。

漏洞+后門+Rootkit技術= 高級的滲透攻擊手段

后門本身有多種形式,可能是DBA賬號,可能是存儲過程、函數、視圖等。后門為黑客的后續入侵提供了方便之門,但后門本身是可以被一些專業的數據庫掃描軟件(例如DBScan)發現的。為了能夠將后門隱藏起來不被發現,出現了一種技術叫做rootkit (Rootkit本意是使用root權限的工具集,但在本文中的意思是幫助Backdoor躲避檢查的技術),Rootkit就像給后門套上了一層隱身衣,防止被安全掃描軟件發現。

利用漏洞可以讓黑客攻入目標系統內部,奪取數據庫權限,利用后門則為黑客后續攻擊提供了一扇可任意出入的門,Rootkit則像一件隱形外衣,保護后門不被安全工具發現。漏洞、后門和Rootkit三者聯合組成高級滲透攻擊的常用手段。由此看見,解決安全問題不只是應對漏洞問題(按時打補丁即可)那么簡單了,更重要的是解決后門和Rootkit的問題。雖然Rootkit具備了隱藏后門的能力,但DBScan優于一般掃描類安全產品的地方之一正在于可以識破Rootkit,發現后門。

成熟的黑客組織會采用多種Rootkit技術來隱藏數據庫后門,如果對Rootkit這種技術不夠了解,是無法研發出能識破“隱身”后門的數據庫安全掃描軟件。下面就跟隨安華金和攻防實驗室來對Rootkit技術做深入地了解:

下圖為安華金和攻防實驗室針對Rootkit技術進行的簡單梳理,按照該技術的隱藏效果和實施難度可以分成四類:裸奔自救技術、數據庫級Rootkit技術、操作系統級Rootkit技術和內存級Rootkit技術。

3-2.jpg

四種Rootkit技術應用場景

四種Rootkit技術中,若只針對數據庫的后門,一般多采用裸奔自救技術或數據庫級Rootkit技術。這是由于這兩種技術不像操作系統級Rootkit技術需要比較高的操作系統權限。一旦黑客拿到操作系統權限,就不會只植入數據庫后門這么簡單了,一定會有操作系統后門存在。所以如果發現黑客使用了操作系統級Rootkit技術,在使用數據庫安全掃描軟件掃描的同時,一定還要使用操作系統的掃描軟件進行安全檢測。

內存級Rootkit是四類技術中操作難度最為復雜,同時也最難以被發現的,,但這種技術也有個致命傷,就是一旦數據庫重啟,內存級Rootkit也就隨之被清空了,這就難以確保后門能夠穩定且長期存在,所以黑客只會在某些特定階段使用該技術,而難以廣泛使用

裸奔自救技術或數據庫級Rootkit技術,則易于實施,需要的權限只局限在數據庫中,能夠提供一定強度的后門隱藏效果,是黑客最常用的技巧。

一起對抗黑客入侵

未來,我們會逐漸公開一些具體的Rootkit技術解決方法,幫助各位DBA解決一些實際問題。如果需要全面的后門和Rootkit解決方案,可以選擇安華金和成熟的數據庫掃描產品DBScan,一并幫您解決復雜的后門和Rootkit問題。解開Rootkit的外衣,捉出隱藏后門,清除數據庫安全隱患。


?