Oracle数据库勒索病毒RushQL死灰复燃

近来,360终端安然实验室陆续接到数起用户反馈,中了Oracle数据库打单病毒,中毒后的数据库利用界面会弹出下方类似的非常信息:

根据此信息,360终端安然实验室确认该病毒是RushQL数据库打单病毒,是因为下载应用了破解版PL/SQL导致的。上面的告警声称,病毒是由“SQL RUSH Team”组织提议,是以该病毒被命名为RushQL。此病毒最早在2016年11月呈现,时代沉寂了1年多,直到近来,360终端安然实验室又陆续接到数起企业、奇迹单位用户遭受到此病毒的打击事故,该病毒忽然出现出逝世灰复燃之势。

技巧阐发

RushQL病毒样本是在客户现场提取的,该样本是一个PL/SQL自带的AfterConnect.sql自动运行脚本,此文件一样平常在官方PL/SQL软件中是一个空文件,而该样本提取自破解版PL/SQL是有实际内容的,如下图所示:

此样本冒充成Oracle官要领度榜样:

脚本的关键代码,采纳了 Oracle数据库专用代码加密对象wrap进行了加密:

将该病毒脚本解密,其主要功能是创建4个存储历程和3个触发器,下面分手阐发其功能。

PROCEDURE DBMS_SUPPORT_INTERNAL

此存储历程主要功能是:

假如当前日期 – 数据库创建日期 > 1200 天则:

创建并备份sys.tab$表的数据到表 ORACHK || SUBSTR(SYS_GUID,10);

删除sys.tab$中的数据,前提是所有表的创建者ID 在(0,38)范围;

轮回2046次打印日志告警信息,并触发非常告警(见概述中的告警信息);

PROCEDURE DBMS_STANDARD_FUN9

此存储历程的主要功能是:

1、动态履行PL/SQL脚本;

PROCEDURE DBMS_SYSTEM_INTERNAL

此存储历程主要功能是:

假如当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小阐发日期 > 1200 天,且当前客户端法度榜样进程名不是“C89238.EXE”(这个“C89238.EXE”推想是制作者搞了个KillSwtich,当收取赎金后,以这个进程名造访数据库将不会导致数据库进入非常,从而为规复数据供给便利)则:

触发告警信息(见概述中的告警信息);

PROCEDURE DBMS_CORE_INTERNAL

此存储历程主要功能是:

假如当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小阐发日期 > 1200 天,则:

删除所着名字不含“$”且名称不是 ORACHK || SUBSTR(SYS_GUID,10)的数据表;

假如当前客户端法度榜样进程名不是“C89238.EXE”(这个“C89238.EXE”推想是制作者搞了个KillSwtich,当收取赎金后,以这个进程名造访数据库将不会导致数据库进入非常,从而为规复数据供给便利)则触发告警信息(见概述中的告警信息);

TRIGGER DBMS_SUPPORT_INTERNAL

此触发器的主要功能是:

在数据库启动时履行存储历程“DBMS_SUPPORT_INTERNAL”

TRIGGER DBMS_SYSTEM_INTERNAL

此触发器的主要功能是:

在登录数据库时履行存储历程“DBMS_SYSTEM_INTERNAL”

TRIGGER DBMS_CORE_INTERNAL

此触发器的主要功能是:

在登录数据库时履行存储历程“DBMS_CORE_INTERNAL”

办理规划

从技巧阐发知道,病毒会根据数据库创建光阴、数据库的数据阐发光阴等因向来判断是否发生发火,是以会有一个匿伏期,匿伏期病毒不发生发火时是没有显着症状的,这时该若何自查是否感染这种病毒呢?着实病毒感染数据库主如果经由过程4个存储历程和3个触发器完成,也即判断是否存在如下存储历程和触发器即可知道是否感染了RushQL病毒:

存储历程 DBMS_SUPPORT_INTERNAL

存储历程 DBMS_STANDARD_FUN9

存储历程 DBMS_SYSTEM_INTERNA

存储历程 DBMS_CORE_INTERNAL

触发器 DBMS_SUPPORT_INTERNAL

触发器 DBMS_ SYSTEM _INTERNAL

[1] [2]下一页

触发器 DBMS_ CORE _INTERNAL

一旦不幸感染了这种病毒该若何处置?从技巧阐发知道,病毒删除数据是由存储历程DBMS_SUPPORT_INTERNAL 和 DBMS_CORE_INTERNAL来履行的,他们的履行前提分手是:

当前日期 – 数据库创建日期 > 1200 天

当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小阐发日期 > 1200 天

当以上前提不满意时,病毒不会触发删除数据的操作,此时删除以上4个存储历程和3个触发器即可。

假如前面的2个前提中任何一个满意,就会呈现数据删除操作,下面给出应对步伐:

(当前日期 – 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小阐发日期

A.删除4个存储历程和3个触发器

B.应用备份把表规复到truncate之前

C.应用ORACHK开首的表规复tab$

D.应用DUL规复(不必然能规复所有的表,如truncate的空间已被应用)

(当前日期 – 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小阐发日期 > 1200 天)

A.删除4个存储历程和3个触发器

B.应用备份把表规复到truncate之前

C.应用DUL规复(不必然能规复所有的表,如truncate的空间已被应用)

影响范围统计

下图是我们监控到的该病毒成长趋势:

从图中可看到,此病毒在2018年6月开始呈现复发趋势,到8月是个小高峰,这和我们接到的反馈次数是大年夜致切合的。

我们还查询了此病毒索要赎金比特币地址买卖营业量:

可以看到,该地址比特币买卖营业量为0 BTC,这阐明没有任何受害者向病毒传播者支付赎金。

安然建议

本病毒追根溯源是因为用户短缺软件安然意识,下载了破解版PL/SQL导致的,为此软件供应链安然应为人们所注重,360天擎推出的软件管家可办理此类问题。软件管家背后由专业的安然团队运作,赞助用户把好软件安然关,使得用户下载软件时不必担心软件滥觞是否安然,免去用户下载软件的不便。

此外对没有中毒或者盼望自查的用户,可以应用360天擎进行扫描排查,今朝360天擎支持此病毒的检测和查杀,请将病毒库进级至2018-11-14今后版本(此版本未完全放量,部分用户可能必要延迟一段光阴才能进级成功)。

参考链接

https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4

关于360终端安然实验室

360终端安然实验室由多名履历富厚的恶意代码钻研专家组成,重点出力于常见病毒、木马、蠕虫、打单软件等恶意代码的道理阐发和钻研,致力为中国政企客户供给快速的恶意代码预警和处置办事,在曾经盛行的WannaCry、Petya、Bad Rabbit的恶意代码处置历程中体现优良,受到政企客户的广泛好评。

依托360在互联网为13亿用户供给终端安然防护的履历积累,360终端安然实验室以360天擎新一代终端安然治理系统为依托,为客户供给简单有效的终端安然治理理念、完备的终端办理规划和定制化的安然办事,赞助广大年夜政企客户办理内网安然与治理问题,保障政企终端安然。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包