Oracle勒索病毒分析

時間：2022-04-22 23:48:01 | 來源：行業(yè)動態(tài)

時間：2022-04-22 23:48:01 來源：行業(yè)動態(tài)

勒索代碼被捆綁在Oracle PL/SQL Dev軟件中(網(wǎng)絡(luò)下載版)，里面的一個腳本文件Afterconnet.sql被黑客注入了病毒代碼。一旦用戶使用這個PL/SQL Dev工具連接數(shù)據(jù)庫，就會立即執(zhí)行Afterconnet.sql，創(chuàng)建四個存儲過程(DBMS_SUPPORT_INTERNAL、DBMS_SYSTEM_INTERNAL、DBMS_CORE_INTERNAL、DBMS_STANDARD_FUN9)和三個觸發(fā)器(DBMS_SUPPORT_INTERNAL、DBMS_SYSTEM_INTERNAL、DBMS_CORE_INTERNAL)。

病毒讀取數(shù)據(jù)庫創(chuàng)建時間，如果大于等于1200天，則對數(shù)據(jù)庫進(jìn)行不同程度的破壞(例如Truncatetab_name和刪除tab$中的記錄)，重啟數(shù)據(jù)庫后會導(dǎo)致用戶無法訪問所有的數(shù)據(jù)庫對象。同時，給出提示你的數(shù)據(jù)庫已經(jīng)被SQL RUSH Team鎖死，請發(fā)送5個比特幣到xxxxxxxxxxx地址，.等信息，并設(shè)置定時任務(wù)，如果在期限內(nèi)不交贖金，就刪除所有的表。具體提示信息如下：



防護(hù)方案利用數(shù)據(jù)庫安全審計(jì)與防護(hù)產(chǎn)品，發(fā)現(xiàn)異常并進(jìn)行防護(hù)

部署啟明星辰數(shù)據(jù)庫審計(jì)或者數(shù)據(jù)庫防火墻，用戶可自行添加勒索病毒的審計(jì)策略，主要的規(guī)則如下：

1、權(quán)限最小化限制，對不同用戶根據(jù)角色給予其最小權(quán)限。

例如：低權(quán)限用戶限制觸發(fā)器、存儲過程的創(chuàng)建和修改。策略配置如下：



為低權(quán)限用戶配置一個權(quán)限控制集合，對于觸發(fā)器和存儲過程和新建修改和刪除操作，一旦執(zhí)行則進(jìn)行告警和阻斷。

2、勒索病毒精準(zhǔn)控制：惡意存儲過程、觸發(fā)器創(chuàng)建行為限制。

對于高權(quán)限賬號新建惡意存儲過程的操作定義規(guī)則，建立阻斷策略進(jìn)行限制，如圖：



依次創(chuàng)建四個存儲過程DBMS_SUPPORT_INTERNAL、DBMS_SYSTEM_INTERNAL、DBMS_CORE_INTERNAL、DBMS_STANDARD_FUN9和三個觸發(fā)器DBMS_SUPPORT_INTERNAL、DBMS_SYSTEM_INTERNAL、DBMS_CORE_INTERNAL的檢測規(guī)則，針對這些操作規(guī)則建立審計(jì)和阻斷策略。

3、為了病毒變種，需要加強(qiáng)對來自PL/SQL Dev客戶端的操作監(jiān)管

定義規(guī)則，對客戶端工具為PL/SQL的所有操作進(jìn)行記錄，對其存儲過程和觸發(fā)器操作進(jìn)行告警。如圖建立規(guī)則并依次選擇對應(yīng)的響應(yīng)方式，建立審計(jì)策略：



人工確認(rèn)病毒入侵痕跡，及時清理惡意文件

1、檢查啟動腳本

大多數(shù)客戶端工具，在訪問數(shù)據(jù)庫時，都可以通過腳本進(jìn)行一定的功能定義，而這些腳本往往就是安全問題的漏洞之一，以下列出了常見客戶端工具的腳本位置，需要檢查這些腳本是否正常，如：plsqldev 的login.sql和afterconnect.sql，Toad的toad.ini，sqlplus中的glogin.sql和login.sql等。

2、在數(shù)據(jù)庫中執(zhí)行檢查語句

Select * from dba_triggers where TRIGGER_NAME like 'DBMS_%_INTERNAL%';

select from dba_procedures W where W.object_name like 'DBMS_%_INTERNAL% '。

以上操作若發(fā)現(xiàn)異常，立刻清理惡意文件，刪除已經(jīng)建立的存儲過程和觸發(fā)器。

綜上，針對Oracle比特幣勒索病毒的防護(hù)方案除了對防護(hù)工具的合理使用，還有賴于數(shù)據(jù)庫管理人員的安全防范意識。建議用戶多使用正版軟件，做好數(shù)據(jù)庫的訪問控制和權(quán)限管理，對于來自異常IP、賬號、客戶端的訪問及時處置，關(guān)閉病毒感染通道。一旦發(fā)現(xiàn)病毒感染請及時采取措施，必要時咨詢專業(yè)安全服務(wù)團(tuán)隊(duì)尋求支持。