数据库成为突破口:勒索软件攻击始于暴露的Oracle服务器
内容提要
Yarix事件响应团队分析了一起针对Oracle数据库的入侵事件,攻击者通过暴力破解获取访问权限,利用Oracle调度器执行命令并建立持久化访问,最终部署勒索软件。YIR强调,及时修补漏洞和严格的服务暴露策略是防御的关键。
关键要点
-
Yarix事件响应团队分析了一起针对Oracle数据库的入侵事件。
-
攻击者通过暴力破解获取了Oracle数据库的访问权限。
-
攻击者利用Oracle调度器执行命令并横向移动。
-
攻击者部署了合法的隧道工具Ngrok以建立持久化访问。
-
攻击者创建了新账户并提升权限,最终部署了勒索软件。
-
攻击者综合运用了多种攻击手法,包括凭证暴力破解和定制勒索软件。
-
及时修补漏洞和严格的服务暴露策略是防御此类攻击的关键。
延伸解读
暴露服务的风险
攻击者通过暴力破解获取Oracle数据库的访问权限,显示出暴露服务的严重风险。企业应定期审查和限制对数据库的访问,确保只有必要的服务暴露在外,以降低被攻击的可能性。
持久化访问的隐患
攻击者利用Ngrok等工具建立持久化访问通道,表明即使在初次入侵后,攻击者仍能持续控制系统。企业应加强对网络流量的监控,及时发现异常连接,以防止潜在的长期威胁。
多重攻击手法的警示
此次攻击综合运用了多种手法,包括凭证暴力破解和合法管理功能,提醒企业在安全防护中需考虑多层次的防御策略。单一的防护措施可能无法有效抵御复杂的攻击。
延伸问答
攻击者是如何获得Oracle数据库的访问权限的?
攻击者通过暴力破解获取了Oracle数据库的访问权限,最终使用提升的' SYSDBA'权限成功认证。
攻击者在入侵后采取了哪些措施来维持访问?
攻击者部署了合法的隧道工具Ngrok,建立了加密连接以维持隐蔽的持久化访问。
攻击者是如何利用Oracle调度器进行横向移动的?
攻击者使用Oracle外部作业调度程序以系统级权限执行命令,投放批处理脚本并运行Base64编码的PowerShell命令。
勒索软件是如何被部署的?
攻击者创建了新账户并提升权限后,最终在'C:\PerfLogs\win.exe'路径下部署并执行了勒索软件。
Yarix团队对防御此类攻击有什么建议?
Yarix团队强调,及时修补漏洞和严格的服务暴露策略是防御此类攻击的关键。
此次攻击使用了哪些攻击手法?
攻击者综合运用了凭证暴力破解、合法的管理功能、隧道工具Ngrok以及定制勒索软件。
