读·解 | 细数比特币勒索攻击（三）

如图蓝线部分所示，当黑客获得足够多的可入侵IP后，将实际启动勒索攻击。黑客首先通过自动化脚本从可入侵列表中批量取出IP地址，再利用PyMongo登录目标数据库，并通过MongoDBdurp将数据下载到指定服务器；之后，黑客只需要删除数据库中的数据，并插入比特币勒索信息，就可以“坐等”赎金到账了。更令人气愤的是，在很多比特币勒索攻击案件中，犯案黑客根本没有转移数据，而是直接将数据删除了；如此一来，即便受害者支付了赎金，也不可能取回数据。

微信图片_20200616175752.jpg

不过类似上述全自动化的勒索攻击，往往需要目标数据库广泛存在安全漏洞或配置错误。如果用户能做到以足够的安全标准来配置数据库或及时主动地升级数据库，“中招”的概率会小很多。

2、针对内网数据库

以Oracle数据库为例，针对内网数据库的勒索攻击不再像云上是经由扫描发现数据库，而是将恶意代码隐藏在数据库运维工具之中以感染目标。例如：在Oracle知名工具PL SQL Developer中加入恶意代码——恶意代码在伴随PL SQL Developer访问数据库后，能够根据用户权限及环境情况采取不同的勒索攻击路线（详见下图）：

微信图片_20200616175756 副本.jpg

红线：如果能拿到SYS用户，就直接对系统表下手，把系统表转存到其他地方，再删除原系统表以威胁用户支付比特币赎金；

绿线：如果只能拿到一般账号，就采用锁账号的方式阻止用户访问数据库，进而实施勒索；

紫线：如果只能拿到DBA账号，就采取删除所有非系统表的方式实施勒索。

此外，在发动勒索攻击前，部分恶意代码还会对目标数据库的创建时间进行判断，以确保勒索的每一个数据库都是有价值的；而当发现目标数据库创建时间较短时，恶意代码则会潜伏下来，等到目标数据库积累到足够多的有价数据后再发动勒索攻击；与此同时，还会利用编码技术躲避数据库扫描类工具对恶意代码的检查，以确保不会在潜伏阶段被受害方发现等等。

数据库勒索攻击防护建议

近年来，以比特币为目标的勒索攻击不断瞄准数据库，无论是“乱枪打鸟”的云上勒索攻击，还是“定点打击”的内网勒索攻击，都值得引起数据库安全工作者的警惕——除了警告用户注意垃圾邮件、恶意广告，以及定期备份数据、重视数据库安全配置并使用高强度口令外，安华金和数据库攻防实验室建议：

1.建立“定期安全探查+预先防护”的双重保障，针对“定点打击”型勒索攻击存在潜伏期这一特征，在其攻击行为真正发动之前，揪出潜伏在数据库中的威胁；

2.务必使用正规的数据库运维工具；

3.平时做好数据备份（尤其是关键数据）；

4.定期更新各种安全策略库；

5.不接入未经安全管控的设备，比如BYOD、U盘等。

数据库安全评估系统（漏扫）的授权检测中有专门针对数据库异常包、存储过程、触发器、各项参数以及后门程序的检查策略，可以帮助用户提早发现潜在的安全威胁，准确发现数据库是否被勒索软件入侵，并向用户提供修复建议等。

但是，仅仅依赖于数据库漏扫的定期巡检还是远远不够的。漏扫能够发现的基本属于已经出现的安全威胁，对于未知安全威胁的探查能力则有所不足，这就需要具备“能读懂sql和能解密数据库协议包”两项能力的数据库安全防护系统（防火墙）和数据库运维管理系统。

部署应用以上数据安全产品，可从不同层面与角度实现对数据库勒索攻击的防护——通过数据库安全防护系统（防火墙）和数据库运维管理系统对安全隐患进行拦截，再由数据库安全评估系统（漏扫）根据这个安全隐患的特征对扫描检测项进行更新；如果数据库安全防护系统（防火墙）和数据库运维管理系统未能发现安全隐患，但数据库安全评估系统（漏扫）发现了安全隐患，则可根据其特征对已有安全防护策略进行优化、更新，从而进一步降低误报率。

综上三篇所述，当前以比特币为目标的勒索攻击，呈现出攻击手段日益复杂、攻击对象覆盖广泛、攻击目标转向数据库等一系列演进趋势和特征；需要通过部署专业、可靠、高效的安全产品和设备，构建多角度、立体化的完整防护体系，进行事前、事中、事后的全面防护。

【完整阅读】

【了解更多】

上一篇：专业的数据库防火墙应具备的功能

下一篇：科普|数据库防火墙的应用场景