近日,国内发生多起针对Oracle 数据库的勒索病毒案例,尤其是在医疗、教育和金融等行业,不少Oracle数据库遭受勒索病毒攻击。
一、勒索病毒详细信息
勒索代码捆绑在“PL/SQLDeveloper***版”软件,其中一个文件Afterconnet.sql被黑客注入了病毒代码。一旦拥有DBA权限的用户使用捆绑有病毒的“PL/SQLDeveloper***版”连接Oracle数据库,就会立即执行“Afterconnet.sql”中的代码,在用户的数据库中创建多个存储过程和触发器。
此病毒具有隐蔽性,只有当数据库创建时间超过1200天才会爆发。病毒程序将判断数据库创建时间是否大于1200天,如果大于等于1200天,重启数据库后会触发病毒触发器,加密并删除sys.tab$,导致用户无法访问数据库中所有的数据库对象集合(schema), 出现“你的数据库已经被SQL RUSH Team锁死,请发送5个比特币到xxxxxxxxxxx地址,….”等信息,并设置定时任务,如果在期限内不交赎金,就删除所有的表。具体提示信息如下
由于该SQL RUSH Team的勒索病毒具有极强的破坏性和高隐蔽性,对使用Oracle数据库的用户危害较大。
二、自查方法
(1)在Oracle Server端检查是否有下面几个对象
或使用如下查询语句:
请注意:% '之间的空格。
执行上述语句后,若为空,表示你的ORACLE数据库是安全的,未中勒索病毒。
(2)检查PLSQL DEV安装目录,查找afterconnect.sql和login.sql文件。其中afterconnect.sql文件默认是空白, 大小应是0字节,login.sql打开后只有一句注释“- -Autostart Command Window script ”,如果这两个文件里有其他内容,应怀疑是病毒。
(3)若自查发现疑似勒索病毒,请立即上报运维主管部门,并告知信息安全部,联系电话:85068088,邮箱:liuqiuchen@cctv.com。
三、应对建议
为避免我台使用Oracle数据库的系统受此次勒索病毒影响,建议各系统提高日常运维安全意识,做好数据安全防范工作,具体建议如下:
1、该勒索攻击是由于用户下载使用未知来源软件造成,建议用户检查数据库工具的使用情况,避免使用来历不明的工具,更不要使用***类的软件。
2、数据库在执行存储过程时,一定要先确认存储过程的内容正确。把常用的存储过程做备份,在运行存储过程前检查这些存储过程最后修改时间,避免运行未知存储过程。
3、按照《中央电视台信息系统安全基线管理规范》做好数据库安全基线配置。
4、运维终端应专机专用,不允许连接互联网,应安装台内统一防病毒软件、及时更新病毒库、定期进行全盘病毒查杀。
5、加强数据库的权限管控、生产环境和测试环境隔离,严格管控开发和运维工具;定期进行数据备份,确保数据可用性。
以上情况,特此通知。
2018年11月20日