【黑客追擊】境外黑客組織提前行動，瞄準我國公司實施網路攻擊

一、黑客最新攻擊動向

近日，境外黑客組織（包括匿名者組織在內的多個黑客組織組成的黑客聯盟）聲稱將於2020年2月13日針對我國視訊監控系統實施網路攻擊破壞活動，並公佈了其已掌握的一批線上視訊監控系統的境內IP地址，該宣告引起了網路安全業內的高度關注。

啟明星辰ADLab追蹤了該組織在Pastebin上的相關攻擊活動記錄，發現其歷史上曾多次將攻擊目標鎖定至我國的政府和企業網站。

攻擊成功則會展示該組織的相關攻擊頁面。

值得注意的是，雖然距離黑客宣稱的攻擊日期還有數日，但黑客組織已經開始發起行動。2020年2月9日凌晨4時，該團伙再次釋出推文公佈了針對中國某海運集團公司網站進行的滲透攻擊活動。

啟明星辰ADLab安全研究人員迅速對該事件進行了分析，攻擊資料顯示該網站可能存在oracle漏洞CVE-2012-1675，黑客利用該漏洞進行的攻擊可以導致oracle元件和合法資料庫之間遭到中間人攻擊、會話劫持或拒絕服務攻擊等，需要引起相關企業的高度重視。

二、攻擊細節分析

我們從黑客的Pastebin展示頁面中發現了此次攻擊的部分資料，該團伙通過暴力猜解、漏洞利用等方式最終有可能竊取到目標的oracle資料庫資料，相關攻擊流程如下：

攻擊團伙首先利用nmap工具針對目標網站進行了掃描，獲取到目標伺服器的相關指紋資訊。

目標伺服器開啟了oracle資料庫的預設監聽埠1521，且資料庫相應版本較低，可能存在諸多漏洞，這也給了攻擊團伙可乘之機（1521埠是oracle資料庫預設的埠，主要作用是用來監聽來自客戶端的資料庫連結請求）。

攻擊團伙進一步針對1521埠的oracle 資料庫實施了滲透測試和攻擊，攻擊過程中共使用到兩個開源的oracle滲透測試專案（odat攻擊框架進行遠端測試Oracle資料庫的安全性 ; oracle-tns-poison進行攻擊投毒）。 

2.1 利用odat攻擊框架進行安全性測試

首先，攻擊者通過odat攻擊框架連線至目標oracle資料庫，並進一步通過PasswordGuesser模組進行暴力猜解。

同時探測到當前oracle版本可能存在TNS poisoning (CVE-2012-1675)漏洞攻擊。

攻擊團伙進一步通過Metasploit5滲透測試框架的tnspoison_checker模組對oracle進行了漏洞檢測驗證。

返回資訊表明存在CVE-2012-1675漏洞，並進一步獲取到oracle的Oracle System ID(SID）。

2.2 通過oracle-tns-poison專案實施投毒攻擊

攻擊共分為三個步驟：

（1）通過check_tns_poison模組再次驗證漏洞的可用性。

（2）通過proxy模組將遠端伺服器的oracle資料代理轉發至本地。

（3）執行tnspoisonv1模組，針對目標資料庫進行投毒攻擊（CVE-2012-1675）。

2.3 CVE-2012-1675漏洞介紹

CVE-2012-1675漏洞是Oracle允許攻擊者在不提供使用者名稱及密碼的情況下，向遠端“TNS Listener”元件處理的資料投毒的漏洞。攻擊者可利用漏洞將資料庫伺服器的合法“TNS Listener”元件中的資料轉發給攻擊者的本地系統，造成元件和合法資料庫之間的中間人攻擊、會話劫持或拒絕服務攻擊，相關示意圖如下：

相關防護和修復建議：

（1）建立足夠強健的口令，切勿使用8位以下密碼或字典庫中的口令，定期更換安全密碼進行預防。

（2）針對Oracle進行補丁升級（更新cpuoct2012-1515893補丁）；注意對於cpuoct2012-1515893補丁要求伺服器端和應用伺服器端同時升級，否則應用系統將無法訪問Oracle；

（3）若無法對Oracle升級，需購買或安裝具備虛擬補丁功能的資料庫安全產品，防止對CVE-2012-1675及其它漏洞的利用；

（4）可針對資料庫進行全庫或者敏感欄位加密，保證即使TNS Listener被攻擊，核心資料依舊不會洩露。

三、總結

依據目前掌握的情況，該境外黑客組織擅長滲透攻擊和漏洞利用，且有可能已經掌握了大量物聯網裝置安全漏洞，並具備進一步利用的能力。由於該組織長期針對我國進行攻擊，希望相關使用者和企業加強自身網路風險排查和安全加固工作，進一步提高防護意識，高度警惕境外黑客組織下一步可能的攻擊行動。