Oracle資料庫勒索病毒RushQLOracle的應對策略

一、Oracle資料庫勒索病毒死灰復燃

2018-11-19 國家資訊保安漏洞共享平臺正式釋出通告“Oracle資料庫勒索病毒RushQL死灰復燃”。轉載原文如下：

從這封簡短的通告我們可以發現，RushQL勒索病毒已經不是第一次肆虐Oracle資料庫，早在2016年11月就已經在全球掀起了一場血雨腥風。當然，那時候它有個更響亮的名字“比特幣勒索病毒”。

目光回溯到2016年11月，全國多家企事業單位遭受比特幣勒索通知“你的資料庫已被鎖死，傳送5個比特幣到這個地址！”。使用者在登陸Oracle資料庫時出現如下勒索警告資訊，被要求上交5個比特幣來換取解鎖資料庫的服務。

時隔整整兩年，RushQL勒索病毒捲土重來，發動新一輪的肆虐。我們不禁要反問自己：為什麼我們會遭到同一勒索病毒連續攻擊？資料庫安全廠商能幫助資料庫使用者做些什麼？

作為一家專注資料庫安全的廠商，安華金和早已對RushQL勒索病毒進行了深度的解析並提供瞭解決方案。

二、勒索病毒攻擊原理分析

早在2016年RushQL勒索病毒出現的時候，安華金和的攻防實驗室就對該病毒做了深度分析，並提供了有效的檢測和防護措施。

RushQL勒索病毒攻擊的目標人群是資料庫管理人員（DBA）。通過在CSDN等網站上惡意散播攜帶勒索病毒的PL SQL Developer（PL/SQL）軟體程式，引誘使用者下載併發起勒索攻擊。

攜帶RushQL病毒的PL/SQL，解壓後主目錄的AfterConnect.SQL檔案存在異常。官方的PL/SQL下AfterConnect.SQL是空檔案，而異常的AfterConnect.SQL有 35KB。

該指令碼的關鍵程式碼，採用了 Oracle資料庫專用程式碼加密工具wrap進行了加密，我們對病毒指令碼進行解密後發現，該指令碼的主要功能是建立4個儲存過程和3個觸發器：

三、專項治理勒索病毒

2014年在國內“資料庫安全”方興未艾之際，安華金和已經開始推廣資料庫防護牆產品：通過串接部署的方式矗立在資料庫最前端，形成了資料庫安全的最後一道防線。

安華金和資料庫防火牆產品，提供“資料庫漏洞攻擊防護”能力，是目前應對資料庫勒索病毒最高效的產品選擇。其防護的範圍不僅涵蓋CVE和CNNVN已經公佈的大量資料庫漏洞；還深度剖析“勒索病毒”的攻擊方式，提供防護手段。

安華金和資料庫防火牆產品，可以對oracle資料庫的“密文儲存過程”進行解密操作。這種準確破解“密文儲存過程”的能力，不但在本次勒索案例中十分關鍵，也是防止第三方工具向資料庫傳送惡意儲存過程的關鍵，只有準確破解加密包的內容才能進行精確的語法分析。

資料庫防火牆能夠把這些訪問資料庫的密文儲存過程“明文化”，對“明文”進行SQL語法分析，匹配特徵值；並對前後關聯的SQL行為進行分析。如果判斷該“語句包”存在惡意行為。產品可以進行會話阻斷，並向相關人員進行危險告警，完成對資料庫攻擊的主動防護。

資料庫防火牆產品早以形成內建的“虛擬補丁”規則，專項治理“RushQL勒索病毒（比特幣攻擊）”，如下圖：

漏洞型別：惡意程式碼

漏洞源：攻擊者可利用漏洞進行比特幣攻擊

資料庫版本：Oracle

勒索病毒入侵資料庫多數是利用了資料庫已有的安全漏洞，或者是植入惡意的儲存過程。資料庫長期暴露在應用系統和資料庫運維人員的訪問之下，如何有效防護勒索病毒？資料庫防火牆提出三條解決方案：

①學習期行為建模

產品可自定義學習期，並基於學習期完成語句、會話的建模分析，構建資料庫安全防護模型；並具備資料庫語法分析能力，可以對SQL語句進行抽象描述，將海量的SQL語句歸類成SQL模板，從而定義語句黑白名單規則。

學習期結束後，對非法的訪問行為和SQL語句主動攔截、阻斷，阻止惡意攻擊行為。

（注：攔截和阻斷的區別：系統支援會話阻斷，可準確定位風險來源並阻斷會話請求。在會話阻斷的基礎上，系統提供“語句攔截”的處理機制，僅針對會話裡產生風險的SQL語句進行攔截，保持會話內其他合規語句的正常操作。）

②漏洞攻擊防護

系統提供“虛擬補丁”防護能力，內建大量資料庫漏洞防護規則，防護範圍包括：系統注入、快取區溢位、許可權提升、資料洩露、拒絕服務等20多種資料庫漏洞型別。當外部系統利用資料庫漏洞進行入侵時，及時阻斷入侵的風險會話。

③敏感資料防護

系統可關聯資料庫的Schema、表、欄位等物件資訊，建立敏感資料規則。物件之間又可以自定義“與/或”關係，形成敏感資料組。資料庫防火牆針對“敏感資料組”建立安全防護體系，可結合“應用資訊”、“客戶端資訊”、“操作行為”等元素共同定義操作規則。通過敏感資料組可以對資料庫的“核心系統表”進行有效防護，在允許常規訪問的前提下，防止惡意篡改和引用。