关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城更多内容
概述·
最近,360终端安全实验室陆续接到数起用户反馈,中了Oracle数据库勒索病毒,中毒后的数据库应用界面会弹出下方类似的异常信息:

360社区

360社区


根据此信息,360终端安全实验室确认该病毒是RushQL数据库勒索病毒,是由于下载使用了破解版PL/SQL导致的。上面的告警声称,病毒是由“SQL RUSH Team”组织发起,因此该病毒被命名为RushQL。
此病毒最早在2016年11月出现,期间沉寂了1年多,直到最近,360终端安全实验室又陆续接到数起企业、事业单位用户遭受到此病毒的袭击事件,该病毒突然呈现出死灰复燃之势。
技术分析·
RushQL病毒样本是在客户现场提取的,该样本是一个PL/SQL自带的AfterConnect.sql自动运行脚本,此文件一般在官方PL/SQL软件中是一个空文件,而该样本提取自破解版PL/SQL是有实际内容的,如下图所示:

360社区

360社区


此样本伪装成Oracle官方程序:

360社区

360社区


脚本的关键代码,采用了 Oracle数据库专用代码加密工具wrap进行了加密:

360社区

360社区

将该病毒脚本解密,其主要功能是创建4个存储过程和3个触发器,下面分别分析其功能。
PROCEDUREDBMS_SUPPORT_INTERNAL

360社区

360社区


此存储过程主要功能是:
如果当前日期 - 数据库创建日期 > 1200 天则:
1  创建并备份sys.tab$表的数据到表 ORACHK || SUBSTR(SYS_GUID,10);
2  删除sys.tab$中的数据,条件是所有表的创建者ID 在(0,38)范围;
3  循环2046次打印日志告警信息,并触发异常告警(见概述中的告警信息);
PROCEDUREDBMS_STANDARD_FUN9

360社区

360社区


此存储过程的主要功能是:
1、动态执行PL/SQL脚本;
PROCEDUREDBMS_SYSTEM_INTERNAL

360社区

360社区


此存储过程主要功能是:
如果当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天,且当前客户端程序进程名不是“C89238.EXE”(这个“C89238.EXE”推测是制作者搞了个KillSwtich,当收取赎金后,以这个进程名访问数据库将不会导致数据库进入异常,从而为恢复数据提供便利)则:
1  触发告警信息(见概述中的告警信息);
PROCEDUREDBMS_CORE_INTERNAL

360社区

360社区


此存储过程主要功能是:
如果当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天,则:
1  删除所有名字不含“$”且名称不是 ORACHK || SUBSTR(SYS_GUID,10)的数据表;
2  如果当前客户端程序进程名不是“C89238.EXE”(这个“C89238.EXE”推测是制作者搞了个KillSwtich,当收取赎金后,以这个进程名访问数据库将不会导致数据库进入异常,从而为恢复数据提供便利)则触发告警信息(见概述中的告警信息);
TRIGGER DBMS_SUPPORT_INTERNAL

360社区

360社区


此触发器的主要功能是:
1  在数据库启动时执行存储过程“DBMS_SUPPORT_INTERNAL”
TRIGGER DBMS_SYSTEM_INTERNAL

360社区

360社区


此触发器的主要功能是:
1  在登录数据库时执行存储过程“DBMS_CORE_INTERNAL”
解决方案·
从技术分析知道,病毒会根据数据库创建时间、数据库的数据分析时间等因素来判断是否发作,因此会有一个潜伏期,潜伏期病毒不发作时是没有明显症状的,这时该如何自查是否感染这种病毒呢?
其实病毒感染数据库主要是通过4个存储过程和3个触发器完成,也即判断是否存在如下存储过程和触发器即可知道是否感染了RushQL病毒:
存储过程
DBMS_SUPPORT_INTERNAL
存储过程
DBMS_STANDARD_FUN9
存储过程
DBMS_SYSTEM_INTERNA
存储过程
DBMS_CORE_INTERNAL
触发器
DBMS_SUPPORT_INTERNAL
触发器
DBMS_ SYSTEM _INTERNAL
触发器
DBMS_ CORE _INTERNAL
一旦不幸感染了这种病毒该如何处置?从技术分析知道,病毒删除数据是由存储过程DBMS_SUPPORT_INTERNAL 和 DBMS_CORE_INTERNAL来执行的,他们的执行条件分别是:
1 当前日期 - 数据库创建日期 > 1200 天
2 当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天
当以上条件不满足时,病毒不会触发删除数据的操作,此时删除以上4个存储过程和3个触发器即可。
如果前面的2个条件中任何一个满足,就会出现数据删除操作,下面给出应对措施:
1 (当前日期 - 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 <= 1200 天)
(A) 删除4个存储过程和3个触发器
(B) 使用备份把表恢复到truncate之前
(C) 使用ORACHK开头的表恢复tab$
(D) 使用DUL恢复(不一定能恢复所有的表,如truncate的空间已被使用)
2 (当前日期 - 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天)
(A)删除4个存储过程和3个触发器
(B)使用备份把表恢复到truncate之前
(C)使用DUL恢复(不一定能恢复所有的表,如truncate的空间已被使用)
影响范围统计
下图是我们监控到的该病毒发展趋势:

360社区

360社区


从图中可看到,此病毒在2018年6月开始出现复发趋势,到8月是个小高峰,这和我们接到的反馈次数是大致相符的。
我们还查询了此病毒索要赎金比特币地址交易量:

360社区

360社区


可以看到,该地址比特币交易量为0 BTC,这说明没有任何受害者向病毒传播者支付赎金。
安全建议
本病毒追根溯源是由于用户缺乏软件安全意识,下载了破解版PL/SQL导致的,为此软件供应链安全应为人们所重视,360天擎推出的软件管家可解决此类问题。软件管家背后由专业的安全团队运作,帮助用户把好软件安全关,使得用户下载软件时不必担心软件来源是否安全,免去用户下载软件的不便。

360社区

360社区


此外对没有中毒或者希望自查的用户,可以使用360天擎进行扫描排查,目前360天擎支持此病毒的检测和查杀,请将病毒库升级至2018-11-14以后版本(此版本未完全放量,部分用户可能需要延迟一段时间才能升级成功)。

360社区

360社区


参考链接·
https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4
关于360终端安全实验室·

360终端安全实验室由多名经验丰富的恶意代码研究专家组成,重点着力于常见病毒、木马、蠕虫、勒索软件等恶意代码的原理分析和研究,致力为中国政企客户提供快速的恶意代码预警和处置服务,在曾经流行的WannaCry、Petya、Bad Rabbit的恶意代码处置过程中表现优异,受到政企客户的广泛好评。

依托360在互联网为13亿用户提供终端安全防护的经验积累,360终端安全实验室以360天擎新一代终端安全管理系统为依托,为客户提供简单有效的终端安全管理理念、完整的终端解决方案和定制化的安全服务,帮助广大政企客户解决内网安全与管理问题,保障政企终端安全。
关于360天擎新一代终端安全管理系统·

360天擎新一代终端安全管理系统是360企业安全集团为解决政企机构终端安全问题而推出的一体化解决方案,是中国政企客户3300万终端的信赖之选。系统以功能一体化、平台一体化、数据一体化为设计理念,以安全防护为核心,以运维管控为重点,以可视化管理为支撑,以可靠服务为保障,能够帮助政企客户构建终端防病毒、入侵防御、安全管理、软件分发、补丁管理、安全U盘、服务器加固、安全准入、非法外联、运维管控、主机审计、移动设备管理、资产发现、身份认证、数据加密、数据防泄露等十六大基础安全能力,帮助政企客户构建终端威胁检测、终端威胁响应、终端威胁鉴定等高级威胁对抗能力,为政企客户提供安全规划、战略分析和安全决策等终端安全治理能力。

360社区

360社区

共 4 个关于警惕!Oracle数据库勒索病毒RushQL死灰复燃的回复 最后回复于 2018-11-20 19:41

评论

直达楼层

tan7177 LV14.上将 发表于 2018-11-20 09:38 | 显示全部楼层 | 私信
有360就不怕了!!!
360fans_75898719 LV7.上尉 发表于 2018-11-20 09:59 | 显示全部楼层 | 私信
支持360               
muzb LV8.少校 发表于 2018-11-20 13:38 | 显示全部楼层 | 私信
潭深千尺 LV8.少校 发表于 2018-11-20 19:41 | 显示全部楼层 | 私信
360全面守护安全!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

帆公子 LV6.中尉

粉丝:10 关注:0 积分:3367

精华:12 金币:2187 经验:2267

最后登录时间:2020-7-25

安全卫士10周年纪念 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表