Oracle PL/SQL Dev工具（破解版）被植入勒索病毒的安全預警及自查通告

【問題描述】

近日，有項目組遇到了勒索軟件攻擊：勒索代碼隱藏在Oracle PL/SQL Dev軟件中（網上下載的破解版），裏面的一個文件afterconnet.sql被黑客注入了病毒代碼。這個代碼會在用戶鏈接數據庫後當即執行，若是用戶的帳號擁有dba權限，它會在用戶的數據庫中建立多個存儲過程和觸發器，會阻止用戶鏈接數據庫。當用戶重啓動後，會觸發病毒觸發器，加密並刪除sys.tab$，致使用戶沒法訪問數據庫中全部的schema， 出現「你的數據庫已經被SQL RUSH team鎖死，請發送5個比特幣到xxxxxxxxxxx地址，….」等信息，並設置定時任務，若是在期限內不交贖金，就truncate全部的表。病毒發做危害極大，並且原廠和相關的安全廠商都很難恢復。

這個病毒爲了增長破壞效果，增強隱蔽性，只有當數據庫建立時間超過1200天才會爆發，有很長的潛伏期。

 

【檢查處置】

一、在Oracle Server端檢查是否有下面幾個對象：

Object_name

Obeject_type

DBMS_SUPPORT_INTERNAL         

TRIGGER

DBMS_SUPPORT_INTERNAL         

PROCEDURE

DBMS_SYSTEM_INTERNAL         

TRIGGER

DBMS_CORE_INTERNAL         

TRIGGER

DBMS_SYSTEM_INTERNAL

PROCEDURE

DBMS_CORE_INTERNAL

PROCEDURE

DBMS_STANDARD_FUN9

PROCEDURE

參考SQL:

select * from dba_objects where object_name like ‘%INTERNAL%’;

 

二、檢查PLSQL DEV安裝目錄，查找afterconnect.sql和login.sql文件。

其中afterconnect.sql的大小應該是0字節，login.sql打開後只有一句註釋「- -Autostart Command Window script 」，若是這兩個文件裏有其餘內容，應懷疑是病毒。

發現數據庫中有病毒代碼，須要當即清除，不要重啓動數據庫。---------------------