近日,国内发生多起针对Oracl数据库的勒索病毒案例,尤其是在医疗、教育和金融等行业,不少Oracl数据库遭受勒索病毒攻击。
勒索病毒详细信息勒索代码捆绑在OraclPL/SQLDv软件中(网上下载的破解版),里面的一个文件Aftrconnt.sql被黑客注入了病毒代码。一旦用户连接数据库,就会立即执行“Aftrconnt.sql”中的代码,在用户的数据库中创建多个存储过程和触发器,并判断数据库创建时间是否大于天。如果大于等于天,重启数据库后会触发病毒触发器,加密并删除sys.tab,导致用户无法访问数据库中所有的数据库对象集合(schma),出现“你的数据库已经被SQLRUSHTam锁死,请发送5个比特币到xxxxxxxxxxx地址,….”等信息,并设置定时任务,如果在期限内不交赎金,就删除所有的表。具体提示信息如下:
由于该SQLRUSHTam的勒索病毒具备极强的破坏性和高隐蔽性,对国内大量使用Oracl数据库的企业危害较大。
山石网科解决方案山石网科数据库审计与防护解决方案,对Oracl数据库进行全面的监控审计和实时的访问控制,结合实际业务需求,提供专业的PL/SQL勒索防护策略,帮助运维人员及时有效的抵御该勒索病毒。
PL/SQL勒索防护策略:部署山石网科数据库审计与防护系统,开启数据库防火墙模式(如果是审计模式仅可以对该勒索病毒进行行为威胁告警)→策略管理→添加策略→根据业务需要选择添加如下两条规则:
1、限制创建PL/SQL勒索病毒相关触发器和存储过程
此为最针对性的防护策略,根据该勒索病毒的工作原理和过程,点对点防护,规则如下:
条件1:;
条件2:
2、限制PL/SQL工具创建存储过程和触发器
目前该勒索病毒仅存在于PL/SQL工具中,那我们可以将PL/SQL有威胁的存储过程和触发器进行访问控制,达到防御目的。规则(条件1和条件2)如下:
条件1:
条件2:
另:如果实际业务环境中不需要使用PL/SQL工具,或者不需要创建触发器和存储过程,我们也单独审计管控这两个功能,用以保障数据库业务安全可用。
合理化建议安全是三分技术七分管理,要做到相对安全,我们还需要从管理和制度进行完善,对于本次勒索事件,我们的合理化建议如下:
采用正版软件,规避未知风险。
加强数据库的权限管控、生产环境和测试环境隔离,严格管控开发和运维工具。
加强信息安全管理意识,定期进行信息安全风险评估。
结语本次发生的Oracl勒索事件,并不是一个新的勒索病毒变种,这两年陆陆续续已经有多起相同事件发生,但是各企业的相关人员并没有引起足够重视,数据安全防范工作仍有缺陷。希望通过本次勒索事件的发生,再次提醒大家提高安全防范意识,做好数据防护和备份策略,应对隐藏在网络世界中的不法分子。
了解更多关于山石网科数据库审计与防护解决方案,
转载请注明:http://www.wangguoqiangq.com/sglbwh/9774.html
