<u id="fuibs"></u>
    1. <rp id="fuibs"></rp>
          1. <source id="fuibs"></source>
            首页安全服务安全公告
            正文

            Oracle勒索病毒的安全预警与自查

            发布时间:2018-11-19 17:11   浏览次数:859


            1.概述        

                   近日,国内诸多Oracle数据库遭受了勒索病毒感染的安全事件,此次受感染根本原因是下载网络上提供的带有勒索病毒的免费PL/SQL Developer工具(破解版)。国内大部分Oracle DBA及运维人员,最喜欢用的Oracle远程连接工具就是PL/SQL Dev(破解版)。此勒索病毒在2016年底开始就有相关报道,它为了增加破坏效果,加强隐蔽性,只有当数据库勒索病毒创建时间超过1200天才会爆发,有很长的潜伏期,系统中毒后危害极大,且很难恢复数据。


                   如果用户的账号拥有DBA管理权限,病毒通过PL/SQL Dev工具在数据库中创建多个存储过程和触发器,会阻止用户连接数据库。当用户重新启动后,会触发病毒触发器,加密并删除sys.tab$,导致用户无法访问数据库中所有的schema, 并出现如下勒索信息“你的数据库已经被SQL RUSH team锁死,请发送5个比特币到xxxxxxxxxxx地址,….”等信息,并设置任务计划,如果在定期内不发送比特币,就truncate所有的数据库表。

            1.png


            2. Oracle自检查

            2.1服务端检查

            语句自查如下:

            SELECT'DROPTRIGGER '||owner||'."'||TRIGGER_NAME||'";'

            FROMdba_triggers

            WHERE TRIGGER_NAMELIKE  'DBMS_%_INTERNAL%'

            UNION ALL

            SELECT'DROPPROCEDURE '||owner||'."'||a.object_name||'";'

            FROMdba_procedures a

            WHEREa.object_name LIKE 'DBMS_%_INTERNAL% ';


            2.png

            语句执行后,若为空,则表示Oracle数据库当前是安全的,未中此勒索病毒。

            或查看是否存在如下对象内容:


            对象名

            对象内容

            DBMS_SUPPORT_INTERNAL

            TRIGGER

            DBMS_SUPPORT_INTERNAL

            PROCEDURE

            DBMS_SYSTEM_INTERNAL

            TRIGGER

            DBMS_CORE_INTERNAL

            TRIGGER

            DBMS_SYSTEM_INTERNAL

            PROCEDURE

            DBMS_CORE_INTERNAL

            PROCEDURE

            DBMS_STANDARD_FUN9

            PROCEDURE

            2.2客户端检查

            在PL/SQL Developer工具安装目录,查看Afterconnect.sql和login.sql文件。

            正常Afterconnect.sql文件是空白,则为0KB;Login.sql打开后,只有一行注释“- -Autostart Command Window script ”。如果这两个文件里有其他信息,则有大概率,此为病毒信息。


            3.png

            3.安全建议

            为了做好Oracle勒索病毒攻击防护工作,海峡信息提出如下建议:

            运维管理:要严格禁止数据库运维人员使用第三方破解版Oracle远程管理软件,应使用Oracle自带的、第三方正版的客户端软件管理Oracle数据库;

            内部自查:自查系统中Oracle数据库及其管理运维人员使用的PL/SQL Developer工具,确认没有恶意程序;

            权限控制:严格控制Oracle生产环境的DBA权限,禁止不经过安全监测的客户端计算机及软件直接远程管理数据库。


            福建省海峡信息技术有限公司 版权所有  联系: hxzhb@heidun.net 闽ICP备06011901号 ? 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

            返回顶部

            中学生网上赚钱 474| 210| 165| 819| 777| 879| 42| 756| 846| 9| 204| 288| 963| 600| 204| 762| 807| 714| 180| 180| 147| 219| 948| 882| 153| 798| 786| 393| 690| 612| 903| 333| 132| 942| 123| 567| 636| 180| 663| 555| 624|