2017年和2020年有两次勒索病毒的高发,现在勒索病毒已经常态化,总能听到某公司被勒索病毒感染的消息。国内的勒索病毒大多不是数据库系统,而是服务器和工作站居多。2017年的OracleRushQL病毒浪潮主要是因为下载了一些盗版的PL/SQLDEV工具引起的。这波勒索病毒的初始版本并没有那么恶毒,它只是对文件头内容进行加密,并删除所有DMP备份文件。当时我们也使用了自己开发的数据下载工具来帮助用户恢复数据。后来这个病毒经过多次改良,变得更加凶猛。它将加密所有文件并删除所有dmp文件。同时会通过数据库内部的数据字典查找数据库备份,能找到并删除的rman备份也会被删除。二清。2020年的热潮是由WEBLOGIC的远程代码执行漏洞CVE-2019-2725引发的。这股热潮打破了以往数据库用户不小心下载了有问题的工具或安装介质的惯例,实现了勒索软件的远程主动攻击。攻击者利用Weblogic的安全漏洞自动下载攻击工具并查找数据库进行主动攻击。自Oracle于2019年4月26日发布紧急安全修复后,该漏洞的详细信息已得到全面披露。该漏洞存在于WebLogicServer的WebServices组件中,利用难度大。虽然紧急修复于4月26日发布,但攻击者可能在一周前就获得了此信息。4月25日,攻击者开始利用该漏洞在受感染的服务器上安装名为Sodinokibi的勒索软件。当时大部分用户还没有获取到该漏洞的信息并及时安装应急补丁。Sodinokibi采用的新模式让勒索软件更难防范。受影响的服务器自动从攻击者控制的IP地址188.166.74.218和45.55.211.79下载勒索软件的副本。安装勒索软件后,它还会自动下载一些其他文件和实用程序。其中之一用于试图防止受害者在感染后恢复其加密文件。正是在这个病毒的各种变种中,有专门针对数据库系统的勒索病毒在2020年肆虐。因为那次攻击的主要目标是Windows系统,所以那次攻击中捕获了很多SQLSERVER数据库。那次勒索病毒攻击让我们认识到,防范勒索病毒的难度是全方位的。从以往的经验来看,数据库勒索病毒的受害者多为IT管理相对简单、安全防范能力较弱的中小企业。然而,这些企业往往在数据备份和灾难恢复方面投入较少,没有完整的数据库备份解决方案。一旦中招,损失还是很严重的。DBA是防范勒索软件的关键岗位。事实上,DBA也是防范勒索病毒的中坚力量。今天我们就来聊一聊DBA应该做些什么来防范勒索软件。被勒索软件感染的数据库种类繁多,但Oracle、SQLSERVER、MySQL等是重灾区。今天我就以Oracle为例,介绍一些常见的防范措施。第一点是数据库安装平台的选择。对于中小企业来说,选择数据库操作系统的人多半是DBA。尽量不要选择WINDOWSSERVER,不是说WINDOWSSERVER不好,而是在WINDOWS上能制造病毒的人数比在Linux上要多得多,而且WINDOWS很容易成为传播病毒的媒介。即使选择SQLSERVER,也尽量使用LINUX。第二点,在核心数据库上,千万不要使用盗版软件。我曾经遇到过一个客户,中了Oracle勒索病毒,他们的数据库安装介质居然是从国内某软件下载平台下载的。即使您使用的是盗版Oracle,您也可以从oracle.com或edelivery.oracle.com下载无风险的正式版。另外,数据库管理软件、TOAD、PL/SQLDEV等也是勒索病毒经常盘踞的地方,尽量不要使用盗版工具。第三点,在选择安装数据库的时候,尽量选择使用ASM而不是文件系统。文件系统是勒索软件的重灾区,能够影响原始设备的勒索软件种类要少得多。使用ASM并不能保证真正的安全,一些特别凶恶、专业的勒索病毒甚至会对ASM磁盘上的数据进行加密。对于网络防护能力较弱且系统必须上网的用户,在数据库中使用ASMFD(ASMFilterDriver)是更好的选择。ASMFD作为LINUX内核模块提供,可以拒绝所有对非OracleIOAPI的非法访问,因此可以很好地保护ASM数据免受病毒和误操作。使用ASMFD后,不再需要使用ASMLIB(两者不兼容),也不再需要使用udev来持久化磁盘设备名。第四点是加强备份和备份安全。对于使用逻辑备份的用户,尽量远程做expdp,将数据备份到其他服务器。rman备份可以备份到磁带库介质或者NFS文件系统。备份完成后,卸载相关设备,并定期对备份数据进行恢复可用性测试,确保有可用的备份数据,将勒索病毒的危害降到最低。.第五点,操作系统和数据库一定要使用强密码,并定期更换。不要觉得麻烦,中了勒索软件就更麻烦了。这些年来,我见过许多饱受勒索软件之苦的DBA。第六点,勒索病毒防护是一项全方位的安全防护工作。许多已知的勒索病毒被用作跳板,感染使用大量开源代码且相对容易出现安全漏洞的应用服务器。如果您的应用服务器暴露在互联网上,那么定期为您的应用服务器打安全补丁是非常有必要的。应用服务器补丁更新相对容易,应用代码兼容性问题较少。勒索软件问题在全球范围内猖獗。虽然我们的数据库里有很多勒索软件,但不算是重灾区。病毒受害者多为中小企业,数据库管理水平较低,备份、容灾等措施不到位。事实上,抵御勒索病毒的第一道防线是网络安全,但从目前的趋势来看,勒索病毒与一些高危安全漏洞相结合的趋势越来越明显。因此,加强了内在安全性,在数据库底层建立了抵御勒索病毒的基本屏障。同时,不要随意从非官方网站下载数据库和数据库运维工具,加强备份和备份数据的安全保护,不用害怕勒索病毒。
