小王是一名DBA，他發(fā)現(xiàn)公司數(shù)據(jù)庫里的數(shù)據(jù)最近突然被盜了，這讓他又詫異又無奈。這個數(shù)據(jù)庫最近才剛用安全掃描軟件檢查過，并且按照報告把所有補丁都打上了，怎么還會出事呢？在進一步排查中，排除了“內鬼”、誤操作等原因外，只好將矛頭指向黑客，是不是黑客使用了什么官方未發(fā)現(xiàn)的0day漏洞進行的入侵？

然而，真相卻是：數(shù)據(jù)庫被植入了后門。

根據(jù)研究發(fā)現(xiàn)，全球信息泄露事件中，被黑客組織利用漏洞使用頻率研究發(fā)現(xiàn)，黑客組織使用排名前十的數(shù)據(jù)庫漏洞均已被官方修復，并且官方都已經(jīng)公布來了出過補丁和修復方案。但是在生產(chǎn)環(huán)境如果要對數(shù)據(jù)庫進行修復或者中打一個補丁操作，需要一系列復雜的測試，才能確保對數(shù)據(jù)庫打補丁之后補丁打上之后，不會對整個生產(chǎn)系統(tǒng)造成任何無法預計的影響。而恰恰就在對數(shù)據(jù)庫打補丁之前這個測試的時間段里，黑客有了可乘之機。很多黑客組織會在數(shù)據(jù)庫漏洞爆出的第一時間官方發(fā)布補丁后的第一時間，進行二進制比對，從中找出漏洞，編寫攻擊腳本，對未打補丁的數(shù)據(jù)庫進行攻擊。這其實就是一個時間差問題。

黑客入侵真相

了解到這個真相之后，小王又產(chǎn)生疑問了：我數(shù)據(jù)丟的時間節(jié)點，是在我打補丁之后，上面的理論說不通??！其實，是小王不是很了解黑客的攻擊流程而已，黑客組織遠比想象的狡猾，他們絕不會在攻破之后馬上就盜取數(shù)據(jù)，而是先植入后門，以后再利用后門來展開文件監(jiān)控、機器控制、數(shù)據(jù)盜取等一系列操作行為。

在一場完整的黑客組織入侵過程中，黑客組織會通過網(wǎng)站未修補的漏洞、操作系統(tǒng)未修補的漏洞和操作系統(tǒng)上某些軟件未修補的漏洞，進行一系列組合攻擊，最終達到控制數(shù)據(jù)庫或操作系統(tǒng)的目的。尤其有政府或財團支持的黑客組織，不會急于盜取數(shù)據(jù)庫中的敏感信息快速變現(xiàn)，而在目標數(shù)據(jù)庫中進行長期潛伏，一方面等待敏感信息價值和量級的成長，另一方面要摸清整個網(wǎng)絡、系統(tǒng)的防護架構和審計能力，防止在盜取敏感數(shù)據(jù)時，留下特征和證據(jù)，甚至被對方發(fā)現(xiàn)。黑客入侵流程圖見下圖：

通常，黑客第一次潛入會充分利用各種未修補的漏洞，但目標系統(tǒng)會定期打補丁，所以導致一些漏洞不能再被利用。為了從一開始就杜絕這種現(xiàn)象，黑客首次入侵數(shù)據(jù)庫后會在庫中植入后門，這是黑客組織能長期穩(wěn)定入侵數(shù)據(jù)庫的關鍵。

漏洞+后門+Rootkit技術= 高級的滲透攻擊手段

后門本身有多種形式，可能是DBA賬號，可能是存儲過程、函數(shù)、視圖等。后門為黑客的后續(xù)入侵提供了方便之門，但后門本身是可以被一些專業(yè)的數(shù)據(jù)庫掃描軟件（例如DBScan）發(fā)現(xiàn)的。為了能夠將后門隱藏起來不被發(fā)現(xiàn)，出現(xiàn)了一種技術叫做rootkit (Rootkit本意是使用root權限的工具集，但在本文中的意思是幫助Backdoor躲避檢查的技術)，Rootkit就像給后門套上了一層隱身衣，防止被安全掃描軟件發(fā)現(xiàn)。

利用漏洞可以讓黑客攻入目標系統(tǒng)內部，奪取數(shù)據(jù)庫權限，利用后門則為黑客后續(xù)攻擊提供了一扇可任意出入的門，Rootkit則像一件隱形外衣，保護后門不被安全工具發(fā)現(xiàn)。漏洞、后門和Rootkit三者聯(lián)合組成高級滲透攻擊的常用手段。由此看見，解決安全問題不只是應對漏洞問題（按時打補丁即可）那么簡單了，更重要的是解決后門和Rootkit的問題。雖然Rootkit具備了隱藏后門的能力，但DBScan優(yōu)于一般掃描類安全產(chǎn)品的地方之一正在于可以識破Rootkit，發(fā)現(xiàn)后門。

成熟的黑客組織會采用多種Rootkit技術來隱藏數(shù)據(jù)庫后門，如果對Rootkit這種技術不夠了解，是無法研發(fā)出能識破“隱身”后門的數(shù)據(jù)庫安全掃描軟件。下面就跟隨安華金和攻防實驗室來對Rootkit技術做深入地了解：

下圖為安華金和攻防實驗室針對Rootkit技術進行的簡單梳理，按照該技術的隱藏效果和實施難度可以分成四類：裸奔自救技術、數(shù)據(jù)庫級Rootkit技術、操作系統(tǒng)級Rootkit技術和內存級Rootkit技術。

四種Rootkit技術應用場景

四種Rootkit技術中，若只針對數(shù)據(jù)庫的后門，一般多采用裸奔自救技術或數(shù)據(jù)庫級Rootkit技術。這是由于這兩種技術不像操作系統(tǒng)級Rootkit技術需要比較高的操作系統(tǒng)權限。一旦黑客拿到操作系統(tǒng)權限，就不會只植入數(shù)據(jù)庫后門這么簡單了，一定會有操作系統(tǒng)后門存在。所以如果發(fā)現(xiàn)黑客使用了操作系統(tǒng)級Rootkit技術，在使用數(shù)據(jù)庫安全掃描軟件掃描的同時，一定還要使用操作系統(tǒng)的掃描軟件進行安全檢測。

內存級Rootkit是四類技術中操作難度最為復雜，同時也最難以被發(fā)現(xiàn)的，，但這種技術也有個致命傷，就是一旦數(shù)據(jù)庫重啟，內存級Rootkit也就隨之被清空了，這就難以確保后門能夠穩(wěn)定且長期存在，所以黑客只會在某些特定階段使用該技術，而難以廣泛使用

裸奔自救技術或數(shù)據(jù)庫級Rootkit技術，則易于實施，需要的權限只局限在數(shù)據(jù)庫中，能夠提供一定強度的后門隱藏效果，是黑客最常用的技巧。

一起對抗黑客入侵

未來，我們會逐漸公開一些具體的Rootkit技術解決方法，幫助各位DBA解決一些實際問題。如果需要全面的后門和Rootkit解決方案，可以選擇安華金和成熟的數(shù)據(jù)庫掃描產(chǎn)品DBScan，一并幫您解決復雜的后門和Rootkit問題。解開Rootkit的外衣，捉出隱藏后門，清除數(shù)據(jù)庫安全隱患。