提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      用AI重新定义数据安全监测,让数据安全变简单

      2026-03-17

       2

      金融机构数据安全能力体系建设与落地实践

      2026-02-27

       3

      开工大吉|策马扬鞭,跃启新程!

      2026-02-25

       4

      浙江省委宣传部副部长、省委网信办主任赵磊:守正创新 辩证施策 全力推动网络生态治理工作迈上新台阶

      2026-02-10

       5

      美创产品全面入围中直机关2025年网络设备框架协议采购项目

      2026-02-04
      相关文章

      美创参编 GA/T 2380-2026|等级保护数据安全基本要求标准解析

      2026-04-02

      世界备份日|以美创容灾备份之力,助力数据完整,保障业务连续!

      2026-03-31

      数据库防火墙系统

      2026-03-31

      可信数据空间来了,数据安全防护准备好了吗?

      2026-03-25

      用AI重新定义数据安全监测,让数据安全变简单

      2026-03-17
      勒索软件系列之四:ORACLE数据库遭比特币勒索攻击原因揭秘
      发布时间:2017-05-02 阅读次数: 731 次


      前文曾提到,勒索软件横扫各大数据库,造成了巨大的损失。本文在复杂多样的勒索软件类型和攻击方式中,选择了Oracle数据库和比特币勒索,进行具体、详细的说明和分析。  

       

      先来看勒索软件攻击Oracle数据库事件。是这样的,有用户后台使用oracle数据库的业务系统,在遭受病毒感染后,勒索软件跳出类似提示框,进行勒索,一般会有如下提示:

      就是让你交赎金,然后给你解药,恢复系统。否则,攻击会导致系统业务用户被锁、表格被删、数据库数据字典表异常等后果。

       

      感染是如何发生的?

      感染源头,一般感染源为受感染的运维工具,本次为PL/SQL Develeper,非官渠道下载或者绿色版下载。

       

      病毒攻击的目标人群为oracle运维开发人员,攻击对象为数据库系统的tab$等数据字典表、业务用户表格,攻击操作为delete、truncate、drop等删除操作。

      大致感染过程如下:

      1. 运维人员下载受感染的运维工具。
      2. 运维人员使用中毒的运维软件连接数据库(超级用户或者业务用户)。
      3. 登录后,中毒软件会执行一段登录sql,使oracle数据库系统中毒。
      4. oracle数据库系统中毒后,病毒会根据预先设置好的判断条件触发。
      5. 病毒爆发后,数据库系统表格、业务用户表格遭受感染,被删除或修改。
      6. 正常业务系统被迫中断。
      7. 前台跳出勒索提示,需缴纳比特币。

       

      感染发生时,能做什么?

      当感染发生、病毒爆发,到了业务中断才发现时,往往已经处于非常被动的救火时期。作为运维人员,应对此种突发事件,能做的首要工作是恢复数据,使业务恢复,删除病毒或者防范病毒再次爆发。

         

      一、恢复数据方面。根据删除操作的不同,采用不同的恢复办法。其中,最有效且可靠的恢复方式就是通过备份。

       

      此处需要几个前提条件:

      你的备份系统有效吗?

      你的备份系统做过恢复测试吗?

      你的备份策略满足恢复要求吗?

      你的备份系统恢复时间满足恢复要求吗?

       

      二是,病毒删除防范方面。一般此种数据库类嵌入式病毒,触发方式有触发器、定时job、业务驱动三种触发形式。

      应对以上几种触发方式,可以进行如下操作:

      1. 查出系统中特权用户及业务用户的异常触发器,禁用或删除。
      2. 在无法确定异常触发器时,暴力的将系统触发器功能关闭。
      3. 查找系统及业务系统异常定时任务。
      4. 在无法确定异常定时任务时,将系统定时任务关闭。

       

      防范于未然,怎么做?

       

      当故障发生时才发现着实为时已晚,再怎么挽救,伤害、损失已经发生。那么,我们怎样防范于未然,做到事前及时发现、预防呢?

       

      先从感染源来看,本次病毒感染来源于受感染的运维工具,运维人员下载使用此类运维工具,而此时数据库在没有任何防范措施的情况下感染病毒。

       

      对于此种感染,存在以下漏洞导致数据库感染:

      1. 运维流程不严
      2. 运维工具管控不严
      3. 运维平台不完善
      4. DDL操作审核不严

       

      针对以上问题,建议进行运维平台建设,运维终端管控,运维工具防假冒,DDL操作审核。运维平台的建立可以减少认证终端使用,降低感染工具进入的概率;防假冒功能可以对运维工具进行审核,判断是否为认证运维工具;DDL审核可以对创建触发器、存储过程的行为进行审核及管控,防止非法程序侵入。

       

      再从过程的几个阶段来看:

      1.非法侵入后,病毒爆发前。这一阶段,需要进行关键资产、代码的安全检查,扫描非法程序、高风险操作代码,及时排除险情。

       

      非法入侵后,如果病毒爆发了,而你没有做关键资产管控,会造成伤害和损失。因此,要做好“管控”,建议建立健全关键资产管控,敏感资产管控,高风险操作管控,特权用户操作管控。(关键资产包含业务数据及相关程序代码,高风险操作有delete、truncate、drop等,特权用户如sys。对于此类的管控,将从根本上杜绝非法应用入侵后形成伤害的可能。)

       

      2.当伤害形成时,需要尽最大可能将损失降到最低,建议建立健全灾备系统,相关备份策略、恢复测试流程、恢复测试案例。定期进行容灾演练、场景演练、恢复测试、入侵用例恢复测试,尽可能缩短恢复时间。

       

      安全问题,重在防范。

       

      上一条:勒索软件系列之五:MYSQL遭勒索背后的安全意识问题
      下一条:勒索软件系列之三:数据库成黑客猎杀目标,如何保护数据资产?
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部