数据安全 | 黑产研究之拖库

原创
08/23 23:32
阅读数 65

文 | 兜哥谈安全

前言

通常web业务的重要数据诸如账户、交易信息都会存储在数据库中,这也使得数据库成为黑产攻击的重要目标。所谓拖库,就是通过入侵网站,非法获取数据库内容。本文将从黑产的动机、常见手段和如何防范三个角度讲解下拖库的相关知识。

动机

黑产进行拖库的动机很多,我归纳主要有以下几种。

商业打击

主要目的不是将窃取的数据变现,而是通过散播消息,从商誉的角度打击受害企业,这种对电商、P2P、保险企业尤其致命,可以让广大消费者对该企业的安全能力产生严重怀疑以至于不信任。

利益驱动

主要目的是将窃取的数据变现。

炫耀能力

炫耀能力,敲诈勒索的前奏。

黑色产业链

拖库只是地下市场贩卖数据的一个环节,整个流程已经形成了完整的产业链,各司其职,我们拿个简化的模型介绍下,整个环节中有这样几个角色。

拖库者

专门负责入侵网站,获取原始的数据库文件。

洗库者

专门负责从拖库者那里收购原始的数据库文件,然后根据不同的用途从原始数据中提取有用的数据。

数据贩卖者

专门负责从洗库者(有时也直接从拖库者那里直接购买原始数据库文件)收购洗完整理好的数据,售卖给各类买家。哪些数据可以用于哪些用途是个非常复杂的话题,这里就不展开讨论了。

数据买家

数据买家就很复杂了,处于各种目的购买各类黑白灰数据,这里只列举几种常见的:

1. 电信欺诈,购买知名电商的近期消费数据、用户详细信息

2. 盗号,购买用户名密码用于撞库,偷玩家装备,甚至直接转账

3. 非法广告商,购买消费、购物车、联系方式等数据,用于精准营销

方法

常见的拖库方式主要有以下几种:

SQL注入

这个最常见,通过SQL注入漏洞可以缓慢偷走数据库中的数据,用神器sqlmap即可。不过这个动静特别大,攻击时间长。

上传漏洞/远程命令执行

通过上传漏洞或者远程命令执行漏洞上传webshell到服务器上,通过webshell的数据库管理功能的大马即可把数据库数据dump走。

运维配置不当

这个情况就特别多了,我见过的有phpmyadmin弱密码甚至空密码导致数据被偷走了,还有数据库对外开放,账户被github泄露了,而且还没限制账户登录IP的。

数据库漏洞

直接利用数据库的cve漏洞,绕过认证鉴权等限制,直接把数据拷贝走。这种比较少见,因为绝大多数数据还是在内网,无法在外网直接发起攻击,需要渗透到内网才能进行这类攻击。

防范

由于拖库的方式很多,所以很难仅统一某一种方式可以彻底杜绝,这里从纵深防御,协防联动的角度来介绍。

WAF/WEB-IDS

WAF无法百分百解决拖库的问题,但是可以提高攻击门槛,有效低于中小黑客的自动化攻击,对SQL注入、上传漏洞、远程命令执行导致的拖库有较好的防御效果。

WEB-IDS由于是旁路部署,可以更好的使用机器学习以及语法分析能力,所以针对SQL注入、上传漏洞、远程命令执行导致的拖库有更好的检测能力。

数据库审计/数据库防火墙

这个是最直接的保护方式,直接在数据库的前端处理全部对数据库的访问,但是其部署难度较大,不如WAF部署方便。另外对于通过入侵数据库服务器直接copy走原始的数据的攻击,难以防范。

HIDS

监控对数据库文件以及备份文件的读写行为,发现直接copy即报警。

DLP

通常DLP部署在办公网防止员工泄密的,但是确实有用户把DLP设备部署在IDC,从http流量中识别高危的身份证号、邮箱等数据库的泄露行为。

思路不是从攻击行为的角度,而是从造成的结果的角度,比如发现某个连接返回超过100个身份证号即报警,但是如果是通过SQL的盲注来拖库,DLP检测会失效。

主机加固

加强运维管理,尽量及时升级补丁,配置acl,数据库账户根据用途区分等。

End.

微信回复文字,查看系列文章


回复 1
大数据可视化 5篇系列文章
回复 2
推荐系统 5篇系列文章
回复 3
机器学习    5篇系列文章
回复 4
随机森林  5篇系列文章
回复 5 
数据科学家     5篇系列文章
回复 6
大数据面试题       5篇系列文章
回复 7
大数据工具          5篇系列文章
回复 8
大数据应用案例  5篇系列文
回复 9
新手入门大数据 5篇系列文
36大数据
36大数据成立于2013年5月,是中国访问量最大的大数据网站。

36大数据以独立第三方的角度,为大数据产业生态图谱上的需求商、应用商、服务商、技术解决商等相关公司及从业人员提供全球资讯、商机、案例、技术教程、项目对接、创业投资及专访报道等服务。
投稿/合作联系:dashuju36@qq.com 
网址:http://www.36dsj.com

长按二维码发现惊喜
点击下方 “阅读原文”查看更多
↓↓↓

本文分享自微信公众号 - 百度安全实验室(BaiduX_lab)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部