前文說到
黑客是無視法律、不擇手段的“趨利主義者”����,為了“收益最大化”����,他們自然也會精心挑選“獵物”。而數(shù)據(jù)庫作為裝滿大量高價值數(shù)據(jù)的“倉庫”�,怎么可能會被黑客放過?下面就讓我們一起來看看�����,黑客是怎么對數(shù)據(jù)庫發(fā)動的勒索攻擊����,并由安華金和攻防實驗室為您揭秘:
針對數(shù)據(jù)庫的勒索攻擊
黑客在對云上數(shù)據(jù)庫和內(nèi)網(wǎng)數(shù)據(jù)庫發(fā)動勒索攻擊時采取了截然不同的手段:
1�、針對云上數(shù)據(jù)庫
以MongoDB數(shù)據(jù)庫為例���,由于其在默認安裝下無密碼��,只要知道IP和端口就可以進行訪問�,因此黑客能夠完全采用自動化腳本發(fā)起勒索攻擊�,而攻擊主要分為兩個階段:
第一階段:掃描準備
如圖紅線部分所示,黑客利用腳本在數(shù)以億計的IPv4上對27017端口(MongoDB安裝后的默認通訊端口)進行批量掃描�,并通過指紋識別目標IP是否存在MongoDB數(shù)據(jù)庫;如果識別發(fā)現(xiàn)存在MongoDB數(shù)據(jù)庫���,便會進一步嘗試登錄�����;如果登錄也成功����,則把IP記錄在可入侵列表中���,準備在第二階段“使用”��。
第二階段:發(fā)動攻擊
如圖藍線部分所示����,當(dāng)黑客獲得足夠多的可入侵IP后,將實際啟動勒索攻擊��。黑客首先通過自動化腳本從可入侵列表中批量取出IP地址����,再利用PyMongo登錄目標數(shù)據(jù)庫,并通過MongoDBdurp將數(shù)據(jù)下載到指定服務(wù)器��;之后�,黑客只需要刪除數(shù)據(jù)庫中的數(shù)據(jù),并插入比特幣勒索信息���,就可以“坐等”贖金到賬了。更令人氣憤的是���,在很多比特幣勒索攻擊案件中����,犯案黑客根本沒有轉(zhuǎn)移數(shù)據(jù)�����,而是直接將數(shù)據(jù)刪除了;如此一來�����,即便受害者支付了贖金���,也不可能取回數(shù)據(jù)�����。
不過類似上述全自動化的勒索攻擊�����,往往需要目標數(shù)據(jù)庫廣泛存在安全漏洞或配置錯誤���。如果用戶能做到以足夠的安全標準來配置數(shù)據(jù)庫或及時主動地升級數(shù)據(jù)庫,“中招”的概率會小很多�。
2、針對內(nèi)網(wǎng)數(shù)據(jù)庫
以O(shè)racle數(shù)據(jù)庫為例�����,針對內(nèi)網(wǎng)數(shù)據(jù)庫的勒索攻擊不再像云上是經(jīng)由掃描發(fā)現(xiàn)數(shù)據(jù)庫,而是將惡意代碼隱藏在數(shù)據(jù)庫運維工具之中以感染目標�����。例如:在Oracle知名工具PL SQL Developer中加入惡意代碼——惡意代碼在伴隨PL SQL Developer訪問數(shù)據(jù)庫后���,能夠根據(jù)用戶權(quán)限及環(huán)境情況采取不同的勒索攻擊路線(詳見下圖):
紅線:如果能拿到SYS用戶����,就直接對系統(tǒng)表下手����,把系統(tǒng)表轉(zhuǎn)存到其他地方,再刪除原系統(tǒng)表以威脅用戶支付比特幣贖金�;
綠線:如果只能拿到一般賬號,就采用鎖賬號的方式阻止用戶訪問數(shù)據(jù)庫�����,進而實施勒索���;
紫線:如果只能拿到DBA賬號,就采取刪除所有非系統(tǒng)表的方式實施勒索。
此外���,在發(fā)動勒索攻擊前����,部分惡意代碼還會對目標數(shù)據(jù)庫的創(chuàng)建時間進行判斷��,以確保勒索的每一個數(shù)據(jù)庫都是有價值的����;而當(dāng)發(fā)現(xiàn)目標數(shù)據(jù)庫創(chuàng)建時間較短時,惡意代碼則會潛伏下來��,等到目標數(shù)據(jù)庫積累到足夠多的有價數(shù)據(jù)后再發(fā)動勒索攻擊��;與此同時�,還會利用編碼技術(shù)躲避數(shù)據(jù)庫掃描類工具對惡意代碼的檢查,以確保不會在潛伏階段被受害方發(fā)現(xiàn)等等�。
數(shù)據(jù)庫勒索攻擊防護建議
近年來,以比特幣為目標的勒索攻擊不斷瞄準數(shù)據(jù)庫��,無論是“亂槍打鳥”的云上勒索攻擊����,還是“定點打擊”的內(nèi)網(wǎng)勒索攻擊,都值得引起數(shù)據(jù)庫安全工作者的警惕——除了警告用戶注意垃圾郵件、惡意廣告��,以及定期備份數(shù)據(jù)�����、重視數(shù)據(jù)庫安全配置并使用高強度口令外�,安華金和數(shù)據(jù)庫攻防實驗室建議:
1.建立“定期安全探查+預(yù)先防護”的雙重保障,針對“定點打擊”型勒索攻擊存在潛伏期這一特征�����,在其攻擊行為真正發(fā)動之前�����,揪出潛伏在數(shù)據(jù)庫中的威脅�;
2.務(wù)必使用正規(guī)的數(shù)據(jù)庫運維工具;
3.平時做好數(shù)據(jù)備份(尤其是關(guān)鍵數(shù)據(jù))��;
4.定期更新各種安全策略庫����;
5.不接入未經(jīng)安全管控的設(shè)備,比如BYOD���、U盤等�。
數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)的授權(quán)檢測中有專門針對數(shù)據(jù)庫異常包��、存儲過程�、觸發(fā)器、各項參數(shù)以及后門程序的檢查策略��,可以幫助用戶提早發(fā)現(xiàn)潛在的安全威脅��,準確發(fā)現(xiàn)數(shù)據(jù)庫是否被勒索軟件入侵���,并向用戶提供修復(fù)建議等��。
但是����,僅僅依賴于數(shù)據(jù)庫漏掃的定期巡檢還是遠遠不夠的����。漏掃能夠發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅,對于未知安全威脅的探查能力則有所不足���,這就需要具備“能讀懂sql和能解密數(shù)據(jù)庫協(xié)議包”兩項能力的數(shù)據(jù)庫安全防護系統(tǒng)(防火墻)和數(shù)據(jù)庫運維管理系統(tǒng)�����。
部署應(yīng)用以上數(shù)據(jù)安全產(chǎn)品�,可從不同層面與角度實現(xiàn)對數(shù)據(jù)庫勒索攻擊的防護——通過數(shù)據(jù)庫安全防護系統(tǒng)(防火墻)和數(shù)據(jù)庫運維管理系統(tǒng)對安全隱患進行攔截,再由數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)根據(jù)這個安全隱患的特征對掃描檢測項進行更新�����;如果數(shù)據(jù)庫安全防護系統(tǒng)(防火墻)和數(shù)據(jù)庫運維管理系統(tǒng)未能發(fā)現(xiàn)安全隱患���,但數(shù)據(jù)庫安全評估系統(tǒng)(漏掃)發(fā)現(xiàn)了安全隱患���,則可根據(jù)其特征對已有安全防護策略進行優(yōu)化、更新�����,從而進一步降低誤報率���。
綜上三篇所述����,當(dāng)前以比特幣為目標的勒索攻擊�,呈現(xiàn)出攻擊手段日益復(fù)雜�����、攻擊對象覆蓋廣泛�����、攻擊目標轉(zhuǎn)向數(shù)據(jù)庫等一系列演進趨勢和特征;需要通過部署專業(yè)�����、可靠�����、高效的安全產(chǎn)品和設(shè)備�,構(gòu)建多角度、立體化的完整防護體系��,進行事前����、事中、事后的全面防護���。
【完整閱讀】
讀·解 | 細數(shù)比特幣勒索攻擊(一)
讀·解 | 細數(shù)比特幣勒索攻擊(二)
【了解更多】
安華金和數(shù)據(jù)庫安全評估系統(tǒng)
安華金和數(shù)據(jù)庫安全防護系統(tǒng)
安華金和數(shù)據(jù)庫運維管理系統(tǒng)
產(chǎn)品咨詢:4000 258 365 
