近日,接部分机构反馈和安全厂商提醒,针对oracle数据库的勒索病毒攻击数量增加。该病毒存在较长潜伏期,会根据数据库实例创建时间距今是否满足1200天决定是否发起攻击。攻击通过执行恶意SQL脚本,加密数据库文件,导致数据库正常操作报错,出现异常。分析认为该攻击是因为维护人员下载、使用了携带恶意SQL脚本的软件程序PL SQL Developer 11.0.6中文绿色注册版(免Oracle11g客户端)导致。
检查措施:
1、检查Oracle数据库内是否存在对应的触发器和异常的存储过程。存储过程包括DBMS_SUPPORT_INTERNAL、DBMS_SYSTEM_INTERNAL、DBMS_STANDARD_FUN9、DBMS_CORE_INTERNAL,触发器包括DBMS_SUPPORT_INTERNAL、DBMS_SYSTEM_INTERNAL和DBMS_CORE_INTERNAL。
2、检查数据库PL SQL developer软件版本是否受影响版本。
安全建议:
1、定期执行数据库备份,并定期对数据库进行安全检查
2、建议下载软件在官方网站下载,非官网下载的工具使用前要杀毒排查,不要使用来源不明的软件。
类似攻击参考信息:
1、https://mp.weixin.qq.com/s/jPySfE0hXxmO8QWdM3HXcA
2、https://www.cnblogs.com/xinxin1994/p/6076516.html