读·解 ｜ 历数BTC勒索攻击（三）

前文写到

网络黑客是忽视法律法规、不顾一切的“逐利现实主义者”，为了更好地“盈利利润最大化”，她们当然也会用心选择“猎食”。而数据库做为放满很多高使用价值数据信息的“库房”，怎么可能会被网...

前文写到

网络黑客是忽视法律法规、不顾一切的“逐利现实主义者”，为了更好地“盈利利润最大化”，她们当然也会用心选择“猎食”。而数据库做为放满很多高使用价值数据信息的“库房”，怎么可能会被网络黑客忽略？下边就要我们一起来看一下，网络黑客是怎么对数据库启动的勒索攻击，并由安华金和防御试验室为您揭密：

对于数据库的勒索攻击

网络黑客在对云端数据库和内部网数据库启动勒索攻击时采用了迥然不同的方式：

1、对于云端数据库

以MongoDB数据库为例子，因为其在默认设置安裝下无登陆密码，只需了解IP和端口号就可以开展浏览，因而网络黑客可以彻底选用自动化技术脚本制作进行勒索攻击，而攻击关键分成两个阶段：

第一阶段：扫描仪提前准备

如图所示红杠一部分所显示，网络黑客运用脚本制作在数以亿计的IPv4上对27017端口号（MongoDB安裝后的默认设置通信端口号）开展大批量扫描仪，并根据指纹验证总体目标IP是不是存有MongoDB数据库；假如鉴别发觉存有MongoDB数据库，便会进一步试着登陆；假如登陆也取得成功，则把IP纪录在可侵入目录中，提前准备在第二阶段“应用”。

第二阶段：启动攻击

如图所示绿线一部分所显示，当网络黑客得到充足多的可侵入IP后，将具体运行勒索攻击。网络黑客最先根据自动化技术脚本制作从可侵入目录中大批量取下IP地址，再运用PyMongo登陆总体目标数据库，并根据MongoDBdurp将数据加载到特定网络服务器；以后，网络黑客只必须删掉数据库中的数据信息，并插进BTC勒索信息内容，就可以“等着”保释金到账了。更令人气愤的是，在许多BTC勒索攻击案子中，作案网络黑客压根沒有迁移数据信息，只是立即将数据删除了；如此一来，就算受害人付款了保释金，也不太可能取回来数据信息。

但是相近所述全自动化技术的勒索攻击，通常必须总体目标数据库普遍存有网络安全问题或配备不正确。假如客户能保证以充足的检测标准来配备数据库或立即积极地升級数据库，“有没有中招”的几率会小许多。

2、对于内部网数据库

以Oracle数据库为例子，对于内部网数据库的勒索攻击不会再像云端是经过扫描仪发觉数据库，只是将恶意程序掩藏在数据库运维管理专用工具当中以感柒总体目标。比如：在Oracle著名专用工具PL SQL Developer中添加恶意程序——恶意程序在随着PL SQL Developer浏览数据库后，可以依据用户权限及自然环境状况采用不一样的勒索攻击线路（详细下面的图）：

红杠：假如能取得SYS客户，就立即系统对表着手，把系统软件表拷贝到到别的地区，再删掉原系统软件表以威协客户付款BTC保释金；

绿线：假如只有取得一般账户，就选用锁账户的方法阻拦客户浏览数据库，从而执行勒索；

紫线：假如只有取得DBA账户，就采用删掉全部非系统软件表的方法执行勒索。

除此之外，在启动勒索攻击前，一部分恶意程序还会继续对总体目标数据库的建立時间开展分辨，以保证勒索的每一个数据库全是有使用价值的；而当发觉总体目标数据库建立時间较短时间，恶意程序则会埋伏出来，直到总体目标数据库累积到充足多的有价数据信息后再启动勒索攻击；此外，还会继续运用编号技术性避开数据库扫描仪类专用工具对恶意程序的查验，以保证不容易在埋伏环节被被害方发觉这些。

数据库勒索攻击安全防护提议

近些年，以BTC为总体目标的勒索攻击持续看准数据库，不论是“乱枪打鸟”的云端勒索攻击，還是“指定严厉打击”的内部网勒索攻击，都值得造成数据库安全性工作人员的警醒——除开警示客户留意垃圾短信、故意广告宣传，及其按时备份数据数据信息、高度重视数据库安全性配备并应用高韧性动态口令外，安华金和数据库防御试验室提议：

1.创建“按时安全性探察 事先安全防护”的双向确保，对于“指定严厉打击”型勒索攻击存有替伏期这一特点，在其攻击个人行为真实启动以前，抓出埋伏在数据库中的威协；

2.尽量应用靠谱的数据库运维管理专用工具；

3.平常搞好备份数据（尤其是重要数据信息）；

4.按时升级各种各样安全设置库；

5.不连接没经安全性监管的机器设备，例如BYOD、U盘等。

数据库安全风险评估系统软件（漏扫）的受权检测中有专业对于数据库出现异常包、sql语句、触发器原理、各类主要参数及其木马程序的查验对策，能够协助客户提前发觉潜在性的安全性威协，精确发觉数据库是不是被勒索手机软件侵入，并向客户出示修补提议等。

可是，只是取决于数据库漏扫的按时安全巡检還是还不够的。漏扫可以发觉的基础归属于早已发生的安全性威协，针对不明安全性威协的探察工作能力则有一定的不够，这就必须具有“能了解sql和能破译数据库协议书包”二项工作能力的数据库安全性防御系统（服务器防火墙）和数据库运维服务系统软件。

布署运用之上网络信息安全商品，可从不一样方面与视角完成对数据库勒索攻击的安全防护——根据数据库安全性防御系统（服务器防火墙）和数据库运维服务对系统安全风险开展阻拦，再由数据库安全风险评估系统软件（漏扫）依据这一安全风险的特点对扫描仪检验项开展升级；假如数据库安全性防御系统（服务器防火墙）和数据库运维服务系统软件无法发觉安全风险，但数据库安全风险评估系统软件（漏扫）发觉了安全风险，则可依据其特点对现有安全防范对策开展提升、升级，进而进一步减少漏报率。

综上所述三篇上述，当今以BTC为总体目标的勒索攻击，展现出攻击方式日益繁杂、攻击目标遮盖普遍、攻击总体目标转为数据库等一系列演变发展趋势和特点；必须根据布署技术专业、靠谱、高效率的网络安全产品和机器设备，搭建多方面、系统化的详细安全防护管理体系，开展事先、事中、过后的全方位安全防护。

【详细阅读文章】

读·解 | 历数BTC勒索攻击（一）

读·解 | 历数BTC勒索攻击（二）

【掌握大量】

安华金和数据库安全风险评估系统软件

安华金和数据库安全性防御系统

安华金和数据库运维服务系统软件

安华金和网络信息安全经营服务平台的网络信息安全整治解决方法

安华金和金融业数据标准化等级分类解决方法

【安华金和】烟草网络信息安全服务咨询实践活动

100 数据库系统漏洞再创佳绩，数据信息将栖身哪里？

营运商领域网络信息安全合规评定项目实施方案