数据库比特币勒索软件攻击警报，云和恩墨科技通讯六月刊精选

选编-数据库比特币勒索病毒攻击预警（刘志龙）

甲骨文比特币勒索病毒最早可以追溯到2016年，有人恶意传播携带比特币勒索病毒的PL SQL Developer软件程序，引诱用户下载进行勒索攻击。 国内多家用户的Oracle数据库遭到攻击。 3 年后，勒索软件似乎卷土重来。 最近，我们又接到了几个核心生产系统的故障案例。 再次提醒大家，一定要进行针对性的安全检查，杜绝此类问题的发生。

故障特征

勒索代码被注入到 Oracle PL/SQL Dev 软件中的 afterconnet.sql 文件中。 这个文件在官方的PL/SQL软件中是一个空文件。 勒索软件使用此文件注入病毒代码。 用户连接数据库后立即执行，告警日志中出现自动任务执行错误，对象被锁定，出现“Your database has been locked by the SQL RUSH Team”。 发送5个比特币到这个地址166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE（同案）某比特币勒索病毒分析，然后将你的Oracle SID Mail发送到sqlrush@mail.com，我们会告诉你如何解锁你的数据库。错误代码如下：

ORA-00604: error occurred at recursive SQL level 1ORA-20315: 你的数据库已被SQL RUSH Team锁死  发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小写一致)  之后把你的Oracle SID邮寄地址 sqlrush@mail.com我们将让你知道如何解锁你的数据库  Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive),  after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.ORA-06512: at “XXX.DBMS_CORE_INTERNAL         ", line 27ORA-06512: at line 2

问题原因

问题的根本原因是：如果用户从网上下载盗版的PL/SQL Developer工具（尤其是各种绿色和破解版），可能会因为这个工具而中招，所以这个问题和Oracle本身关系不大，而且不像注射那么复杂。 但是当你使用这个工具的时候，用户的权限自然而然的被占有侵犯了。

故障分析

PL/SQL Developer在中国的流行和盗版是毋庸置疑的。 本软件安装目录下有一个脚本文件AfterConnect.sql。 这个脚本是真正的问题。 正版软件安装，这个脚本文件是一个空文件某比特币勒索病毒分析，但是被感染的文件中包含了一系列的JOB定义、存储过程和触发器定义，这就是灾难的根源。 受感染的文件——AfterConnect.sql 是这样开始的，伪装成 login.sql 脚本内容，带有清晰注释的代码：

大量内容，以加密形式显示，用户看不到内容，但可以通过unwrap解密（但要注意那些不含恶意代码的解密程序）：

毫无疑问，黑客对Oracle数据库非常了解，其脚本代码的核心部分解密后如下（部分删除）

SELECT NVL(TO_CHAR(SYSDATE-CREATED ),0) INTO DATE1 FROM V$DATABASE;   IF (DATE1>=1200) THEN

请注意黑客的专业性，以下部分判断是在程序开始时做的：

即判断数据库创建时间大于1200天后才开始行动。 如果你的数据库还没有爆，那可能是因为时间还没有到。

我们强烈建议用户检查数据库工具的使用情况，避免使用来路不明的工具，使用正版软件避免未知风险。

故障排除

这种攻击使用了JOB、触发器和存储过程来协同工具，所以如果数据库遇到这种问题，可以将JOB参数job_queue_processes设置为0来阻止JOB的执行，然后重启数据库。 可以清除注入的对象，其中可能包括以下同名触发器和存储过程：

PROCEDURE "DBMS_CORE_INTERNAL        PROCEDURE "DBMS_SYSTEM_INTERNAL        PROCEDURE "DBMS_SUPPORT_INTERNAL

攻击的核心代码还包括：

STAT:='truncate table '||USER||'.'||I.TABLE_NAME;

跟进建议

为防止勒索病毒再次发生，提高数据安全性，建议如下：

1、严格权限管理，回收所有业务用户的dba权限，在保证数据安全和应用可用性的前提下，按照用户权限最少的原则进行权限管理。

2、排查第三方工具，检查是否有不明来源的第三方工具大规模接入数据库。 您必须从官方渠道获取客户端连接工具。

下面列出了需要注意的常见客户端工具的脚本位置：

SQL*Plus: glogin.sql / login.sqlTOAD : toad.iniPLSQLdeveloper: login.sql / afterconnect.sql

3、通过官方渠道下载补丁包。 补丁包中还可能含有病毒程序。 下载官方补丁包是一个基本的标准操作。

4.设置白名单。 限制IP登录，不在白名单内的IP不允许登录数据库，提高数据安全性。

5、日常检查。 在日常巡检中加入病毒扫描脚本，早发现早治疗。

6.启用数据库审计。 数据库审计在跟踪用户操作方面更加全面。 审计将捕获用户登录数据库以及登录后的各种操作。

如果您的数据库遭到攻击导致数据丢失，您可以紧急联系云和恩墨的服务团队，我们可以帮您处理数据恢复问题，云和恩墨久经考验的ODU产品可以最大限度的将数据丢失数据恢复。