【黑客追击】境外黑客组织提前行动,瞄准我国公司实验网络攻击

宣布时间 2020-02-09

一、黑客最新攻击动向


克日,境外黑客组织(包括匿名者组织在内的多个黑客组织组成的黑客同盟)声称将于2020年2月13日针对我国视频监控系统实验网络攻击破损运动,并宣布了其已掌握的一批在线视频监控系统的境内IP地点,该声明引起了网络清静业内的高度关注。


优发国际·随优而动一触即发


优发国际网站官网ADLab追踪了该组织在Pastebin上的相关攻击运动纪录,发明其历史上曾多次将攻击目的锁定至我国的政府和企业网站。


攻击乐成则会展示该组织的相关攻击页面。


优发国际·随优而动一触即发


值得注重的是,虽然距离黑客宣称的攻击日期尚有数日,但黑客组织已经最先提倡行动。2020年2月9日破晓4时,该团伙再次宣布推文宣布了其针对中国某海运集团公司网站举行的渗透攻击运动。


优发国际·随优而动一触即发


优发国际网站官网ADLab清静研究职员迅速对该事务举行了剖析,攻击数据显示该网站可能保存oracle误差CVE-2012-1675,黑客使用该误差举行的攻击可以导致oracle组件和正当数据库之间遭到中心人攻击、会话挟制或拒绝服务攻击等,需要引起相关企业的高度重视。


二、攻击细节剖析


我们从黑客的Pastebin展示页面中发明了此次攻击的部分数据,该团伙通过暴力猜解、误差使用等方法最终有可能窃取到目的的oracle数据库数据,相关攻击流程如下:


攻击团伙首先使用nmap工具针对目的网站举行扫描,获取到目的服务器的相关指纹信息。


优发国际·随优而动一触即发


目的服务器开启了oracle数据库的默认监听端口1521,且数据库响应版本较低,可能保存诸多误差,这也给了攻击团伙可乘之机(1521端口是oracle数据库默认的端口,主要作用是用来监听来自客户端的数据库链接请求)。


攻击团伙进一步针对1521端口的oracle 数据库实验了渗透测试和攻击,攻击历程中共使用到两个开源的oracle渗透测试项目(odat攻击框架举行远程测试Oracle数据库的清静性 ; oracle-tns-poison举行攻击投毒)。


优发国际·随优而动一触即发


2.1 使用odat攻击框架举行清静性测试


首先,攻击者通过odat攻击框架毗连至目的oracle数据库,并进一步通过PasswordGuesser�?榫傩斜┝Σ陆�。


优发国际·随优而动一触即发


同时探测到目今oracle版本可能保存TNS poisoning (CVE-2012-1675)误差攻击。


优发国际·随优而动一触即发


攻击团伙进一步通过Metasploit5渗透测试框架的tnspoison_checker�?槎詏racle举行了误差检考试证。


优发国际·随优而动一触即发


返回信息批注保存CVE-2012-1675误差,并进一步获取到oracle的Oracle System ID(SID)。


优发国际·随优而动一触即发


2.2 通过oracle-tns-poison项目实验投毒攻击


攻击共分为三个办法:


(1)通过check_tns_poison�?樵俅窝橹の蟛畹目捎眯�。


优发国际·随优而动一触即发


(2)通过proxy�?榻冻谭衿鞯膐racle数据署理转发至外地。


优发国际·随优而动一触即发


(3)执行tnspoisonv1�?�,针对目的数据库举行投毒攻击(CVE-2012-1675)。


优发国际·随优而动一触即发


2.3 CVE-2012-1675误差先容


CVE-2012-1675误差是Oracle允许攻击者在不提供用户名及密码的情形下,向远程“TNS Listener”组件处置惩罚的数据投毒的误差。攻击者可使用误差将数据库服务器的正当“TNS Listener”组件中的数据转发给攻击者的外地系统,造成组件和正当数据库之间的中心人攻击、会话挟制或拒绝服务攻击,相关示意图如下:


优发国际·随优而动一触即发


◆相关防护和修复建议


建设足够强壮的口令,切勿使用8位以下密码或字典库中的口令,按期替换清静密码举行预防。


针对Oracle举行补丁升级(更新cpuoct2012-1515893补�。�;注重:关于cpuoct2012-1515893补丁要求服务器端和应用服务器端同时升级,不然应用系统将无法会见Oracle。


若无法对Oracle升级,需购置或装置具备虚拟补丁功效的数据库清静产品,避免对CVE-2012-1675及其它误差的使用。

可针对数据库举行全库或者敏感字段加密,包管纵然TNS Listener被攻击,焦点数据依旧不会泄露。


三、总 结


依据现在掌握的情形,该境外黑客组织善于渗透攻击和误差使用,且有可能已经掌握了大宗物联网装备清静误差,并具备进一步使用的能力。由于该组织恒久针对我国举行攻击,希望相关用户和企业增强自身网络危害排查和清静加固事情,进一步提高防护意识,高度小心境外黑客组织下一步可能的攻击行动。