帕拉迪支招解決近期爆發的(de)Oracle勒索病毒威脅
發布時間: 2018.11.28 | 來源: 帕拉迪

近日,帕拉迪科(kē)技公司不斷接到企業用戶反饋,希望我們(men)對于卷土重來的(de)Oracle數據庫勒索病毒能夠提供全方位的(de)Oracle數據庫安全防護解決方案。對此,公司應急響應團隊接到消息後立即引起重視(shì),由漢武安全實驗室複現病毒感染現象,分析病毒行(xíng)為(wèi)過程,探究病毒實現功能的(de)本源。

分析發現,證實該病毒是RushQL數據庫勒索病毒,是由于下載使用了破解版PL/SQL導緻的(de)。該病毒是一(yī)個PL/SQL自(zì)帶的(de)AfterConnect.sql自(zì)動運行(xíng)腳本,此文件一(yī)般在官方PL/SQL軟件中是一(yī)個空文件,而提取自(zì)破解版PL/SQL的(de)樣本是有(yǒu)實際內(nèi)容的(de),其通過創建:DBMS_SUPPORT_INTERNAL、DBMS_STANDARD_FUN9、DBMS_SYSTEM_INTERNAL、DBMS_CORE_INTERNAL四個存儲過程來實現用戶正常訪問數據庫異常的(de)功能。

 

Oracle數據庫勒索病毒觸發時,在連接時會出現以下窗口:


在Oracle Server端使用以下查詢語句檢查是否有(yǒu)以上幾個存儲過程:


請注意最後 % '之間的(de)空格,執行(xíng)上述語句後,若為(wèi)空,表示你的(de)Oracle數據庫是安全的(de),未中勒索病毒。

解決辦法(操作數據庫請在專業人員協助下操作!)

從技術分析知道(dào),病毒删除數據是由存儲過程DBMS_SUPPORT_INTERNAL 和(hé) DBMS_CORE_INTERNAL來執行(xíng)的(de),他們(men)的(de)執行(xíng)條件分别是:

1.當前日期 – 數據庫創建日期 > 1200 天

2.當前日期 – 數據表(不含SYSTEM, SYSAUX, EXAMPLE)的(de)最小分析日期 > 1200 天

當以上條件不滿足時,病毒不會觸發删除數據的(de)操作,此時删除以上4個存儲過程和(hé)3個觸發器即可(kě)。

如(rú)果前面的(de)2個條件中任何一(yī)個滿足,就會出現數據删除操作,下面給出應對措施:

1.(當前日期 – 數據庫創建日期 > 1200 天) 且 (當前日期 – 數據表(不含SYSTEM, SYSAUX, EXAMPLE)的(de)最小分析日期 <= 1200 天)

A.删除4個存儲過程和(hé)3個觸發器

B.使用備份把表恢複到truncate之前

C.使用ORACHK開頭的(de)表恢複tab$

D.使用DUL恢複(不一(yī)定能恢複所有(yǒu)的(de)表,如(rú)truncate的(de)空間已被使用)


2.(當前日期 – 數據庫創建日期 > 1200 天) 且 (當前日期 – 數據表(不含SYSTEM, SYSAUX, EXAMPLE)的(de)最小分析日期 > 1200 天)

A.删除4個存儲過程和(hé)3個觸發器

B.使用備份把表恢複到truncate之前

C.使用DUL恢複(不一(yī)定能恢複所有(yǒu)的(de)表,如(rú)truncate的(de)空間已被使用)


帕拉迪給出的(de)方案,通過部署帕拉迪數據庫行(xíng)為(wèi)防火牆,限制創建勒索病毒相關存儲過程,幫助用戶避免勒索病毒的(de)威脅,具體防護策略如(rú)下:

1

【策略管理(lǐ)】-【對象】添加4個存儲過程


2

【行(xíng)為(wèi)防火牆】-創建一(yī)條關于勒索病毒防護的(de)策略,将剛添加的(de)4個存儲過程加入到SQL命令字段裏,安全響應動作為(wèi)拒絕,應用對象為(wèi)Oracle數據庫

3

使用PL/SQL工具連接到目标數據庫,執行(xíng)上述存儲過程,發現創建存儲過程被拒絕


4

進入帕拉迪數據庫防火牆【日志審計】-【策略告警】,記錄了相應的(de)告警記錄,此告警,也可(kě)通過郵件發送給DBA,可(kě)以快速發現做(zuò)出響應


帕拉迪數據庫安全防護建議

1. 控制可(kě)信的(de)計算機(jī)才能訪問數據庫,對于不具備數據庫訪問權限的(de)用戶,在網絡層面予以拒絕;

2. 可(kě)信來源控制,在識别TCP五元組基礎上,鑒别其數據庫賬号、數據庫應用程序、客戶端主機(jī)、客戶端用戶名稱,防止肉雞攻擊數據庫;

3. 嚴格執行(xíng)最小權限原則,通過行(xíng)為(wèi)防火牆,限制可(kě)執行(xíng)操作的(de)權限;

4. 對于應用中間件訪問數據庫的(de)行(xíng)為(wèi),通過業務防火牆進行(xíng)SQL語句白名單建模,徹底解決數據庫安全問題。


詳細安全加固方法建議參考Oracle官方博客《對數據庫的(de)“比特币攻擊”及防護》,https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4


Copyright © 2019 All Rights Reserved Designed
杭州帕拉迪網絡科(kē)技有(yǒu)限公司