数据库成为突破口:勒索软件攻击始于暴露的Oracle服务器
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Yarix事件响应团队分析了一起针对Oracle数据库的入侵事件,攻击者通过暴力破解获取访问权限,利用Oracle调度器执行命令并建立持久化访问,最终部署勒索软件。YIR强调,及时修补漏洞和严格的服务暴露策略是防御的关键。
🎯
关键要点
- Yarix事件响应团队分析了一起针对Oracle数据库的入侵事件。
- 攻击者通过暴力破解获取了Oracle数据库的访问权限。
- 攻击者利用Oracle调度器执行命令并横向移动。
- 攻击者部署了合法的隧道工具Ngrok以建立持久化访问。
- 攻击者创建了新账户并提升权限,最终部署了勒索软件。
- 攻击者综合运用了多种攻击手法,包括凭证暴力破解和定制勒索软件。
- 及时修补漏洞和严格的服务暴露策略是防御此类攻击的关键。
❓
延伸问答
攻击者是如何获得Oracle数据库的访问权限的?
攻击者通过暴力破解获取了Oracle数据库的访问权限,最终使用提升的' SYSDBA'权限成功认证。
攻击者在入侵后采取了哪些措施来维持访问?
攻击者部署了合法的隧道工具Ngrok,建立了加密连接以维持隐蔽的持久化访问。
攻击者是如何利用Oracle调度器进行横向移动的?
攻击者使用Oracle外部作业调度程序以系统级权限执行命令,投放批处理脚本并运行Base64编码的PowerShell命令。
勒索软件是如何被部署的?
攻击者创建了新账户并提升权限后,最终在'C:\PerfLogs\win.exe'路径下部署并执行了勒索软件。
Yarix团队对防御此类攻击有什么建议?
Yarix团队强调,及时修补漏洞和严格的服务暴露策略是防御此类攻击的关键。
此次攻击使用了哪些攻击手法?
攻击者综合运用了凭证暴力破解、合法的管理功能、隧道工具Ngrok以及定制勒索软件。
➡️
