近日，帕拉迪科技公司不斷接到企業用戶反饋，希望我們對(duì)于卷土重來的Oracle數據庫勒索病毒能(néng)夠提供全方位的Oracle數據庫安全防護解決方案。對(duì)此，公司應急響應團隊接到消息後(hòu)立即引起(qǐ)重視，由漢武安全實驗室複現病毒感染現象，分析病毒行爲過(guò)程，探究病毒實現功能(néng)的本源。

分析發(fā)現，證實該病毒是RushQL數據庫勒索病毒，是由于下載使用了破解版PL/SQL導緻的。該病毒是一個PL/SQL自帶的AfterConnect.sql自動運行腳本，此文件一般在官方PL/SQL軟件中是一個空文件，而提取自破解版PL/SQL的樣(yàng)本是有實際内容的，其通過(guò)創建：DBMS_SUPPORT_INTERNAL、DBMS_STANDARD_FUN9、DBMS_SYSTEM_INTERNAL、DBMS_CORE_INTERNAL四個存儲過(guò)程來實現用戶正常訪問數據庫異常的功能(néng)。

Oracle數據庫勒索病毒觸發(fā)時，在連接時會(huì)出現以下窗口：

在Oracle Server端使用以下查詢語句檢查是否有以上幾個存儲過(guò)程：

請注意最後(hòu) % '之間的空格，執行上述語句後(hòu)，若爲空，表示你的Oracle數據庫是安全的，未中勒索病毒。

解決辦法（操作數據庫請在專業人員協助下操作！）

從技術分析知道(dào)，病毒删除數據是由存儲過(guò)程DBMS_SUPPORT_INTERNAL 和 DBMS_CORE_INTERNAL來執行的，他們的執行條件分别是：

1.當前日期 – 數據庫創建日期 > 1200 天

2.當前日期 – 數據表（不含SYSTEM, SYSAUX, EXAMPLE）的最小分析日期 > 1200 天

當以上條件不滿足時，病毒不會(huì)觸發(fā)删除數據的操作，此時删除以上4個存儲過(guò)程和3個觸發(fā)器即可。

如果前面(miàn)的2個條件中任何一個滿足，就(jiù)會(huì)出現數據删除操作，下面(miàn)給出應對(duì)措施：

1.（當前日期 – 數據庫創建日期 > 1200 天） 且 （當前日期 – 數據表（不含SYSTEM, SYSAUX, EXAMPLE）的最小分析日期 <= 1200 天）

A.删除4個存儲過(guò)程和3個觸發(fā)器

B.使用備份把表恢複到truncate之前

C.使用ORACHK開(kāi)頭的表恢複tab$

D.使用DUL恢複（不一定能(néng)恢複所有的表，如truncate的空間已被(bèi)使用）

2.（當前日期 – 數據庫創建日期 > 1200 天） 且 （當前日期 – 數據表（不含SYSTEM, SYSAUX, EXAMPLE）的最小分析日期 > 1200 天）

A.删除4個存儲過(guò)程和3個觸發(fā)器

B.使用備份把表恢複到truncate之前

C.使用DUL恢複（不一定能(néng)恢複所有的表，如truncate的空間已被(bèi)使用）

帕拉迪給出的方案，通過(guò)部署帕拉迪數據庫行爲防火牆，限制創建勒索病毒相關存儲過(guò)程，幫助用戶避免勒索病毒的威脅，具體防護策略如下：

1. 控制可信的計算機才能(néng)訪問數據庫，對(duì)于不具備數據庫訪問權限的用戶，在網絡層面(miàn)予以拒絕；

2. 可信來源控制，在識别TCP五元組基礎上，鑒别其數據庫賬号、數據庫應用程序、客戶端主機、客戶端用戶名稱，防止肉雞攻擊數據庫；

3. 嚴格執行最小權限原則，通過(guò)行爲防火牆，限制可執行操作的權限；

4. 對(duì)于應用中間件訪問數據庫的行爲，通過(guò)業務防火牆進(jìn)行SQL語句白名單建模，徹底解決數據庫安全問題。

詳細安全加固方法建議參考Oracle官方博客《對(duì)數據庫的“比特币攻擊”及防護》，https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4