Tấn công rootkit trong Oracle (doc)

59 953 5
Tấn công rootkit trong Oracle (doc)

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

MỤC LỤC 1 DANH MỤC CÁC HÌNH VẼ 3 DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT 4 LỜI NÓI ĐẦU 5 CHƯƠNG 1. 6 TÌM HIỂU VỀ ROOTKIT 6 1.1. Hiểu biết chung về mã độc hại(malware) 6 1.2. Khái niệm Rootkit 7 1.2.1. Lịch sử Rootkit 7 1.2.2. Định nghĩa Rootkit 7 1.3. Cách thức hoạt động của Rootkit 8 1.3.1. Chiếm quyền điều khiển. 8 1.3.2. Kỹ thuật Hooking 8 1.4. Phân loại Rootkit 9 1.4.1. Usermode rootkit và kernel – mode rootkit 9 1.4.2. Persistent và nonpersistent rootkit 11 CHƯƠNG 2. 12 TẤN CÔNG ROOTKIT TRONG ORACLE 12 2.1. Một số kiểu tấn công trong Oracle 12 2.1.1. Tấn công SQL injection 12 2.1.2. Hack listener 15 2.1.3. PLSQL injection 17 2.2. Tấn công Rootkit trong Oracle 18 2.2.1. Tìm hiểu một số data dictionary view 19 2.2.2. Khai thác các PLSQL Package 22 2.2.3. Nhiệm vụ của rootkit 29 2.2.4. Cách thức tấn công của rootkit 34 2.2.5. Mô tả tấn công Oracle sử dụng rootkit kết hợp với backdoor 41 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 50 DANH MỤC CÁC HÌNH VẼ Hinh 1: Tương đồng giữa database và OS 19 Hinh 2:View dba_jobs 20 Hinh 3: View dba_jobs_running 21 Hinh 4: VProcess 21 Hinh 5:VSession 22 Hinh 6: dbms_metadata 23 Hinh 7: dbms_output 25 Hinh 8: dbms_jobs 25 Hinh 9: dbms_sql 26 Hinh 10: Trước khi ẩn user Hacker 30 Hinh 11: Sau khi ẩn user Hacker 31 Hinh 12: vsession trước khi ẩn session 32 Hinh 13:vsession sau khi ẩn session 32 Hinh 14:dba_jobs trước khi ẩn job 33 Hinh 15:dba_jobs sau khi ẩn job 33 Hinh 16:Truoc khi thay đôi binary 35 Hinh 17:Sau khi thay đổi binary. 36 Hinh 18: Đường dẫn thực thi trong Oracle 37 Hinh 19: Trước khi thay đổi đường dẫn thực thi 37 Hinh 20: Tạo view mới 38 Hinh 21: Truy xuất sau khi thay đổi đường dẫn 38 Hinh 22 :Sử dụng PLSQL native 41 DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT API Application Program Interface ARCn Archive CSDL Cơ sở dữ liệu DB Database DCL Data Control Language DDL Data dictionary Language DML Data Manipulate Language DBWn Database Written DLL Thư viện liên kết động Function Hàm Instance Thành phần logic của DB LGWR Log writer OS Hệ điều hành Package Chứa các procedure, function PGA Private Global Area PLSQL Ngôn ngữ truy vấn có thủ tục Procedure Thủ tục RDBMS Hệ quản trị cơ sở dữ liệu quan hệ Rootkit Chương trình che giấu hành vi của hacker SQL Ngôn ngữ truy vấn SGA System Global Area Table Bảng Tablespace Tập hợp các table, view, index… View Table chứa metadata LỜI NÓI ĐẦU Rootkit trong OS không còn xa lạ với chúng ta. Chúng đã được các kẻ xâm nhập sử dụng để che giấu các dấu vết từ rất lâu. Tuy nhiên, không phải ai cũng biết rằng rootkit còn có thể được sử dụng và đang được các hacker sử dụng trong cơ sở dữ liệu, thường chứa các dữ liệu quan trọng của các công ty, tổ chức. Theo ước tính, khoảng 100 triệu người có thông tin cá nhân nằm trong tầm kiểm soát của tội phạm Internet. Lấy cắp thông tin đã trở thành một nguy cơ chính, thông tin đã trở thành mỏ vàng cho tội phạm. Thông tin cá nhân được chia thành nhiều loại với mức giá khác nhau. Ví dụ, thông tin về địa chỉ, số điện thoại, ngày sinh, số dịch vụ xã hội, số đăng ký băng lái…đều được đặt giá. Rất nhiều cơ sở dữ liệu của các công ty lớn bị xâm phạm. Nhất là các ngân hàng, nhà băng, dịch vụ thẻ thanh toán như CardSystems, Citigroup, Bank of America, DSW Shoe Warehouse… đều đã bị tội phạm nhòm ngó và gây ra thiệt hại nhất định. Oracle là hãng dẫn đầu trong thị trường cơ sở dữ liệu và thường được sử dụng ở các cơ quan, tổ chức lớn. Với khối lượng dữ liệu lớn và quan trọng. Không nghi ngờ gì, Oracle đã trở thành đích ngắm hấp dẫn trong các cuộc tấn công. Oracle database rootkit là hướng tấn công khá mới. Rootkit được cài đặt sau khi đã đột nhập thành công vào một Oracle database, để che giấu mọi dấu vết của cuộc đột nhập, và trở thành tấm bình phong che chắn sự hiện diện của attacker trong database. Người quản trị sẽ khó lòng biết được database của mình có đang bị nhìn ngó hay bị tấn công hay không, dù có sử dụng các công cụ tìm kiếm rootkit. Và vì thế không có biện pháp cải thiện hay áp dụng phương pháp tự bảo vệ, qua một thời gian dài thiệt hại sẽ rất đáng kể. Khi mà cơ sở dữ liệu là một tài nguyên vô cùng quan trọng có ý nghĩa sống còn đối với doanh nghiệp, tổ chức. Chương 1. TÌM HIỂU VỀ ROOTKIT 1.1. Hiểu biết chung về mã độc hại(malware) Thuật ngữ malware là từ viết tắt của malicious software. Malware được tạo với mục đích truy nhập, chỉnh sửa và phá hoại các software khác trên máy tính. Malware có nhiều loại: virus, worms, trojans, backdoor, spyware… và các biến thể khác

. này, hơn nữa, rootkit kiều này không để lại manh mối vật lý nào để có thể bị phát hiện. 21 22 TẤN CÔNG ROOTKIT TRONG ORACLE 22 Một số kiểu tấn công trong Oracle 22 1.1.7. Tấn công SQL injection. trở thành đích ngắm hấp dẫn trong các cuộc tấn công 15 Oracle database rootkit là hướng tấn công khá mới. Rootkit được cài đặt sau khi đã đột nhập thành công vào một Oracle database, để che giấu. utl_file.fremove 43 1.1.13. Cách thức tấn công của rootkit 43 Trang 9 Tấn công rootkit trong Oracle Oracle lưu các thông tin về username, job, process trong các data dictionary view. Và người

Ngày đăng: 24/03/2015, 15:44

Từ khóa liên quan

Mục lục

  • 1.1.1. Lịch sử Rootkit

  • 1.1.2. Định nghĩa Rootkit

  • 1.1.3. Chiếm quyền điều khiển.

  • 1.1.4. Kỹ thuật Hooking

  • 1.1.5. User-mode rootkit và kernel – mode rootkit

  • 1.1.6. Persistent và non-persistent rootkit

  • 1.1.7. Tấn công SQL injection

    • 1.1.7.1. SQL Manipulation

    • 1.1.7.2. Code injection

    • 1.1.7.3. Function Call injection

    • 1.1.7.4. Buffer Overflows

    • 1.1.8. Hack listener

      • 1.1.8.1. Điểm yếu của Listener

      • 1.1.9. PL/SQL injection

      • 1.1.10. Tìm hiểu một số data dictionary view

      • 1.1.11. Khai thác các PL/SQL Package

      • 1.1.12. Nhiệm vụ của rootkit

      • 1.1.13. Cách thức tấn công của rootkit

      • 1.1.14. Mô tả tấn công Oracle sử dụng rootkit kết hợp với backdoor

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan