前文說到
黑客是無視法律、不擇手段的“趨利主義者”���,為了“收益最大化”�,他們自然也會精心挑選“獵物”����。而數(shù)據(jù)庫作為裝滿大量高價(jià)值數(shù)據(jù)的“倉庫”,怎么可能會被黑客放過����?下面就讓我們一起來看看,黑客是怎么對數(shù)據(jù)庫發(fā)動的勒索攻擊����,并由安華金和攻防實(shí)驗(yàn)室為您揭秘:
針對數(shù)據(jù)庫的勒索攻擊
黑客在對云上數(shù)據(jù)庫和內(nèi)網(wǎng)數(shù)據(jù)庫發(fā)動勒索攻擊時(shí)采取了截然不同的手段:
1、針對云上數(shù)據(jù)庫
以MongoDB數(shù)據(jù)庫為例��,由于其在默認(rèn)安裝下無密碼��,只要知道IP和端口就可以進(jìn)行訪問��,因此黑客能夠完全采用自動化腳本發(fā)起勒索攻擊���,而攻擊主要分為兩個階段:
第一階段:掃描準(zhǔn)備
如圖紅線部分所示�����,黑客利用腳本在數(shù)以億計(jì)的IPv4上對27017端口(MongoDB安裝后的默認(rèn)通訊端口)進(jìn)行批量掃描����,并通過指紋識別目標(biāo)IP是否存在MongoDB數(shù)據(jù)庫��;如果識別發(fā)現(xiàn)存在MongoDB數(shù)據(jù)庫���,便會進(jìn)一步嘗試登錄�����;如果登錄也成功��,則把IP記錄在可入侵列表中�,準(zhǔn)備在第二階段“使用”。
第二階段:發(fā)動攻擊
如圖藍(lán)線部分所示��,當(dāng)黑客獲得足夠多的可入侵IP后�����,將實(shí)際啟動勒索攻擊�����。黑客首先通過自動化腳本從可入侵列表中批量取出IP地址����,再利用PyMongo登錄目標(biāo)數(shù)據(jù)庫,并通過MongoDBdurp將數(shù)據(jù)下載到指定服務(wù)器����;之后,黑客只需要刪除數(shù)據(jù)庫中的數(shù)據(jù),并插入比特幣勒索信息����,就可以“坐等”贖金到賬了����。更令人氣憤的是,在很多比特幣勒索攻擊案件中��,犯案黑客根本沒有轉(zhuǎn)移數(shù)據(jù)����,而是直接將數(shù)據(jù)刪除了;如此一來�,即便受害者支付了贖金,也不可能取回?cái)?shù)據(jù)�����。
不過類似上述全自動化的勒索攻擊��,往往需要目標(biāo)數(shù)據(jù)庫廣泛存在安全漏洞或配置錯誤��。如果用戶能做到以足夠的安全標(biāo)準(zhǔn)來配置數(shù)據(jù)庫或及時(shí)主動地升級數(shù)據(jù)庫���,“中招”的概率會小很多�。
2、針對內(nèi)網(wǎng)數(shù)據(jù)庫
以O(shè)racle數(shù)據(jù)庫為例�,針對內(nèi)網(wǎng)數(shù)據(jù)庫的勒索攻擊不再像云上是經(jīng)由掃描發(fā)現(xiàn)數(shù)據(jù)庫,而是將惡意代碼隱藏在數(shù)據(jù)庫運(yùn)維工具之中以感染目標(biāo)����。例如:在Oracle知名工具PL SQL Developer中加入惡意代碼——惡意代碼在伴隨PL SQL Developer訪問數(shù)據(jù)庫后,能夠根據(jù)用戶權(quán)限及環(huán)境情況采取不同的勒索攻擊路線(詳見下圖):
紅線:如果能拿到SYS用戶��,就直接對系統(tǒng)表下手�,把系統(tǒng)表轉(zhuǎn)存到其他地方,再刪除原系統(tǒng)表以威脅用戶支付比特幣贖金���;
綠線:如果只能拿到一般賬號����,就采用鎖賬號的方式阻止用戶訪問數(shù)據(jù)庫�,進(jìn)而實(shí)施勒索;
紫線:如果只能拿到DBA賬號��,就采取刪除所有非系統(tǒng)表的方式實(shí)施勒索���。
此外�,在發(fā)動勒索攻擊前,部分惡意代碼還會對目標(biāo)數(shù)據(jù)庫的創(chuàng)建時(shí)間進(jìn)行判斷�����,以確保勒索的每一個數(shù)據(jù)庫都是有價(jià)值的���;而當(dāng)發(fā)現(xiàn)目標(biāo)數(shù)據(jù)庫創(chuàng)建時(shí)間較短時(shí),惡意代碼則會潛伏下來���,等到目標(biāo)數(shù)據(jù)庫積累到足夠多的有價(jià)數(shù)據(jù)后再發(fā)動勒索攻擊��;與此同時(shí)�,還會利用編碼技術(shù)躲避數(shù)據(jù)庫掃描類工具對惡意代碼的檢查����,以確保不會在潛伏階段被受害方發(fā)現(xiàn)等等。
數(shù)據(jù)庫勒索攻擊防護(hù)建議
近年來���,以比特幣為目標(biāo)的勒索攻擊不斷瞄準(zhǔn)數(shù)據(jù)庫��,無論是“亂槍打鳥”的云上勒索攻擊��,還是“定點(diǎn)打擊”的內(nèi)網(wǎng)勒索攻擊���,都值得引起數(shù)據(jù)庫安全工作者的警惕——除了警告用戶注意垃圾郵件��、惡意廣告����,以及定期備份數(shù)據(jù)����、重視數(shù)據(jù)庫安全配置并使用高強(qiáng)度口令外,安華金和數(shù)據(jù)庫攻防實(shí)驗(yàn)室建議:
1.建立“定期安全探查+預(yù)先防護(hù)”的雙重保障����,針對“定點(diǎn)打擊”型勒索攻擊存在潛伏期這一特征,在其攻擊行為真正發(fā)動之前���,揪出潛伏在數(shù)據(jù)庫中的威脅����;
2.務(wù)必使用正規(guī)的數(shù)據(jù)庫運(yùn)維工具�����;
3.平時(shí)做好數(shù)據(jù)備份(尤其是關(guān)鍵數(shù)據(jù))��;
4.定期更新各種安全策略庫;
5.不接入未經(jīng)安全管控的設(shè)備����,比如BYOD、U盤等����。
數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)的授權(quán)檢測中有專門針對數(shù)據(jù)庫異常包、存儲過程��、觸發(fā)器����、各項(xiàng)參數(shù)以及后門程序的檢查策略��,可以幫助用戶提早發(fā)現(xiàn)潛在的安全威脅����,準(zhǔn)確發(fā)現(xiàn)數(shù)據(jù)庫是否被勒索軟件入侵,并向用戶提供修復(fù)建議等����。
但是,僅僅依賴于數(shù)據(jù)庫漏掃的定期巡檢還是遠(yuǎn)遠(yuǎn)不夠的���。漏掃能夠發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅���,對于未知安全威脅的探查能力則有所不足��,這就需要具備“能讀懂sql和能解密數(shù)據(jù)庫協(xié)議包”兩項(xiàng)能力的數(shù)據(jù)庫安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫運(yùn)維管理系統(tǒng)����。
部署應(yīng)用以上數(shù)據(jù)安全產(chǎn)品�,可從不同層面與角度實(shí)現(xiàn)對數(shù)據(jù)庫勒索攻擊的防護(hù)——通過數(shù)據(jù)庫安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫運(yùn)維管理系統(tǒng)對安全隱患進(jìn)行攔截,再由數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)根據(jù)這個安全隱患的特征對掃描檢測項(xiàng)進(jìn)行更新���;如果數(shù)據(jù)庫安全防護(hù)系統(tǒng)(防火墻)和數(shù)據(jù)庫運(yùn)維管理系統(tǒng)未能發(fā)現(xiàn)安全隱患���,但數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)發(fā)現(xiàn)了安全隱患,則可根據(jù)其特征對已有安全防護(hù)策略進(jìn)行優(yōu)化����、更新,從而進(jìn)一步降低誤報(bào)率����。
綜上三篇所述,當(dāng)前以比特幣為目標(biāo)的勒索攻擊��,呈現(xiàn)出攻擊手段日益復(fù)雜、攻擊對象覆蓋廣泛�、攻擊目標(biāo)轉(zhuǎn)向數(shù)據(jù)庫等一系列演進(jìn)趨勢和特征;需要通過部署專業(yè)�、可靠、高效的安全產(chǎn)品和設(shè)備�����,構(gòu)建多角度�����、立體化的完整防護(hù)體系��,進(jìn)行事前���、事中、事后的全面防護(hù)���。
【完整閱讀】
讀·解 | 細(xì)數(shù)比特幣勒索攻擊(一)
讀·解 | 細(xì)數(shù)比特幣勒索攻擊(二)
【了解更多】
安華金和數(shù)據(jù)庫安全評估系統(tǒng)
安華金和數(shù)據(jù)庫安全防護(hù)系統(tǒng)
安華金和數(shù)據(jù)庫運(yùn)維管理系統(tǒng)
產(chǎn)品咨詢:4000 258 365 
