小王是一名DBA，他發(fā)現(xiàn)公司數(shù)據(jù)庫(kù)里的數(shù)據(jù)最近突然被盜了，這讓他又詫異又無(wú)奈。這個(gè)數(shù)據(jù)庫(kù)最近才剛用安全掃描軟件檢查過(guò)，并且按照?qǐng)?bào)告把所有補(bǔ)丁都打上了，怎么還會(huì)出事呢？在進(jìn)一步排查中，排除了“內(nèi)鬼”、誤操作等原因外，只好將矛頭指向黑客，是不是黑客使用了什么官方未發(fā)現(xiàn)的0day漏洞進(jìn)行的入侵？

然而，真相卻是：數(shù)據(jù)庫(kù)被植入了后門。

根據(jù)研究發(fā)現(xiàn)，全球信息泄露事件中，被黑客組織利用漏洞使用頻率研究發(fā)現(xiàn)，黑客組織使用排名前十的數(shù)據(jù)庫(kù)漏洞均已被官方修復(fù)，并且官方都已經(jīng)公布來(lái)了出過(guò)補(bǔ)丁和修復(fù)方案。但是在生產(chǎn)環(huán)境如果要對(duì)數(shù)據(jù)庫(kù)進(jìn)行修復(fù)或者中打一個(gè)補(bǔ)丁操作，需要一系列復(fù)雜的測(cè)試，才能確保對(duì)數(shù)據(jù)庫(kù)打補(bǔ)丁之后補(bǔ)丁打上之后，不會(huì)對(duì)整個(gè)生產(chǎn)系統(tǒng)造成任何無(wú)法預(yù)計(jì)的影響。而恰恰就在對(duì)數(shù)據(jù)庫(kù)打補(bǔ)丁之前這個(gè)測(cè)試的時(shí)間段里，黑客有了可乘之機(jī)。很多黑客組織會(huì)在數(shù)據(jù)庫(kù)漏洞爆出的第一時(shí)間官方發(fā)布補(bǔ)丁后的第一時(shí)間，進(jìn)行二進(jìn)制比對(duì)，從中找出漏洞，編寫攻擊腳本，對(duì)未打補(bǔ)丁的數(shù)據(jù)庫(kù)進(jìn)行攻擊。這其實(shí)就是一個(gè)時(shí)間差問(wèn)題。

黑客入侵真相

了解到這個(gè)真相之后，小王又產(chǎn)生疑問(wèn)了：我數(shù)據(jù)丟的時(shí)間節(jié)點(diǎn)，是在我打補(bǔ)丁之后，上面的理論說(shuō)不通??！其實(shí)，是小王不是很了解黑客的攻擊流程而已，黑客組織遠(yuǎn)比想象的狡猾，他們絕不會(huì)在攻破之后馬上就盜取數(shù)據(jù)，而是先植入后門，以后再利用后門來(lái)展開(kāi)文件監(jiān)控、機(jī)器控制、數(shù)據(jù)盜取等一系列操作行為。

在一場(chǎng)完整的黑客組織入侵過(guò)程中，黑客組織會(huì)通過(guò)網(wǎng)站未修補(bǔ)的漏洞、操作系統(tǒng)未修補(bǔ)的漏洞和操作系統(tǒng)上某些軟件未修補(bǔ)的漏洞，進(jìn)行一系列組合攻擊，最終達(dá)到控制數(shù)據(jù)庫(kù)或操作系統(tǒng)的目的。尤其有政府或財(cái)團(tuán)支持的黑客組織，不會(huì)急于盜取數(shù)據(jù)庫(kù)中的敏感信息快速變現(xiàn)，而在目標(biāo)數(shù)據(jù)庫(kù)中進(jìn)行長(zhǎng)期潛伏，一方面等待敏感信息價(jià)值和量級(jí)的成長(zhǎng)，另一方面要摸清整個(gè)網(wǎng)絡(luò)、系統(tǒng)的防護(hù)架構(gòu)和審計(jì)能力，防止在盜取敏感數(shù)據(jù)時(shí)，留下特征和證據(jù)，甚至被對(duì)方發(fā)現(xiàn)。黑客入侵流程圖見(jiàn)下圖：

通常，黑客第一次潛入會(huì)充分利用各種未修補(bǔ)的漏洞，但目標(biāo)系統(tǒng)會(huì)定期打補(bǔ)丁，所以導(dǎo)致一些漏洞不能再被利用。為了從一開(kāi)始就杜絕這種現(xiàn)象，黑客首次入侵?jǐn)?shù)據(jù)庫(kù)后會(huì)在庫(kù)中植入后門，這是黑客組織能長(zhǎng)期穩(wěn)定入侵?jǐn)?shù)據(jù)庫(kù)的關(guān)鍵。

漏洞+后門+Rootkit技術(shù)= 高級(jí)的滲透攻擊手段

后門本身有多種形式，可能是DBA賬號(hào)，可能是存儲(chǔ)過(guò)程、函數(shù)、視圖等。后門為黑客的后續(xù)入侵提供了方便之門，但后門本身是可以被一些專業(yè)的數(shù)據(jù)庫(kù)掃描軟件（例如DBScan）發(fā)現(xiàn)的。為了能夠?qū)⒑箝T隱藏起來(lái)不被發(fā)現(xiàn)，出現(xiàn)了一種技術(shù)叫做rootkit (Rootkit本意是使用root權(quán)限的工具集，但在本文中的意思是幫助Backdoor躲避檢查的技術(shù))，Rootkit就像給后門套上了一層隱身衣，防止被安全掃描軟件發(fā)現(xiàn)。

利用漏洞可以讓黑客攻入目標(biāo)系統(tǒng)內(nèi)部，奪取數(shù)據(jù)庫(kù)權(quán)限，利用后門則為黑客后續(xù)攻擊提供了一扇可任意出入的門，Rootkit則像一件隱形外衣，保護(hù)后門不被安全工具發(fā)現(xiàn)。漏洞、后門和Rootkit三者聯(lián)合組成高級(jí)滲透攻擊的常用手段。由此看見(jiàn)，解決安全問(wèn)題不只是應(yīng)對(duì)漏洞問(wèn)題（按時(shí)打補(bǔ)丁即可）那么簡(jiǎn)單了，更重要的是解決后門和Rootkit的問(wèn)題。雖然Rootkit具備了隱藏后門的能力，但DBScan優(yōu)于一般掃描類安全產(chǎn)品的地方之一正在于可以識(shí)破Rootkit，發(fā)現(xiàn)后門。

成熟的黑客組織會(huì)采用多種Rootkit技術(shù)來(lái)隱藏?cái)?shù)據(jù)庫(kù)后門，如果對(duì)Rootkit這種技術(shù)不夠了解，是無(wú)法研發(fā)出能識(shí)破“隱身”后門的數(shù)據(jù)庫(kù)安全掃描軟件。下面就跟隨安華金和攻防實(shí)驗(yàn)室來(lái)對(duì)Rootkit技術(shù)做深入地了解：

下圖為安華金和攻防實(shí)驗(yàn)室針對(duì)Rootkit技術(shù)進(jìn)行的簡(jiǎn)單梳理，按照該技術(shù)的隱藏效果和實(shí)施難度可以分成四類：裸奔自救技術(shù)、數(shù)據(jù)庫(kù)級(jí)Rootkit技術(shù)、操作系統(tǒng)級(jí)Rootkit技術(shù)和內(nèi)存級(jí)Rootkit技術(shù)。

四種Rootkit技術(shù)應(yīng)用場(chǎng)景

四種Rootkit技術(shù)中，若只針對(duì)數(shù)據(jù)庫(kù)的后門，一般多采用裸奔自救技術(shù)或數(shù)據(jù)庫(kù)級(jí)Rootkit技術(shù)。這是由于這兩種技術(shù)不像操作系統(tǒng)級(jí)Rootkit技術(shù)需要比較高的操作系統(tǒng)權(quán)限。一旦黑客拿到操作系統(tǒng)權(quán)限，就不會(huì)只植入數(shù)據(jù)庫(kù)后門這么簡(jiǎn)單了，一定會(huì)有操作系統(tǒng)后門存在。所以如果發(fā)現(xiàn)黑客使用了操作系統(tǒng)級(jí)Rootkit技術(shù)，在使用數(shù)據(jù)庫(kù)安全掃描軟件掃描的同時(shí)，一定還要使用操作系統(tǒng)的掃描軟件進(jìn)行安全檢測(cè)。

內(nèi)存級(jí)Rootkit是四類技術(shù)中操作難度最為復(fù)雜，同時(shí)也最難以被發(fā)現(xiàn)的，，但這種技術(shù)也有個(gè)致命傷，就是一旦數(shù)據(jù)庫(kù)重啟，內(nèi)存級(jí)Rootkit也就隨之被清空了，這就難以確保后門能夠穩(wěn)定且長(zhǎng)期存在，所以黑客只會(huì)在某些特定階段使用該技術(shù)，而難以廣泛使用

裸奔自救技術(shù)或數(shù)據(jù)庫(kù)級(jí)Rootkit技術(shù)，則易于實(shí)施，需要的權(quán)限只局限在數(shù)據(jù)庫(kù)中，能夠提供一定強(qiáng)度的后門隱藏效果，是黑客最常用的技巧。

一起對(duì)抗黑客入侵

未來(lái)，我們會(huì)逐漸公開(kāi)一些具體的Rootkit技術(shù)解決方法，幫助各位DBA解決一些實(shí)際問(wèn)題。如果需要全面的后門和Rootkit解決方案，可以選擇安華金和成熟的數(shù)據(jù)庫(kù)掃描產(chǎn)品DBScan，一并幫您解決復(fù)雜的后門和Rootkit問(wèn)題。解開(kāi)Rootkit的外衣，捉出隱藏后門，清除數(shù)據(jù)庫(kù)安全隱患。