[[182464]]

前言

通常web業(yè)務(wù)的重要數(shù)據(jù)諸如賬戶、交易信息都會存儲在數(shù)據(jù)庫中，這也使得數(shù)據(jù)庫成為黑產(chǎn)攻擊的重要目標。所謂拖庫，就是通過入侵網(wǎng)站，非法獲取數(shù)據(jù)庫內(nèi)容。本文將從黑產(chǎn)的動機、常見手段和如何防范三個角度講解下拖庫的相關(guān)知識。

動機

黑產(chǎn)進行拖庫的動機很多，我歸納主要有以下幾種。

商業(yè)打擊

主要目的不是將竊取的數(shù)據(jù)變現(xiàn)，而是通過散播消息，從商譽的角度打擊受害企業(yè)，這種對電商、P2P、保險企業(yè)尤其致命，可以讓廣大消費者對該企業(yè)的安全能力產(chǎn)生嚴重懷疑以至于不信任。

利益驅(qū)動

主要目的是將竊取的數(shù)據(jù)變現(xiàn)。

炫耀能力

炫耀能力，敲詐勒索的前奏。

黑色產(chǎn)業(yè)鏈

拖庫只是地下市場販賣數(shù)據(jù)的一個環(huán)節(jié)，整個流程已經(jīng)形成了完整的產(chǎn)業(yè)鏈，各司其職，我們拿個簡化的模型介紹下，整個環(huán)節(jié)中有這樣幾個角色。

拖庫者

專門負責(zé)入侵網(wǎng)站，獲取原始的數(shù)據(jù)庫文件。

洗庫者

專門負責(zé)從拖庫者那里收購原始的數(shù)據(jù)庫文件，然后根據(jù)不同的用途從原始數(shù)據(jù)中提取有用的數(shù)據(jù)。

數(shù)據(jù)販賣者

專門負責(zé)從洗庫者(有時也直接從拖庫者那里直接購買原始數(shù)據(jù)庫文件)收購洗完整理好的數(shù)據(jù)，售賣給各類買家。哪些數(shù)據(jù)可以用于哪些用途是個非常復(fù)雜的話題，這里就不展開討論了。

數(shù)據(jù)買家

數(shù)據(jù)買家就很復(fù)雜了，處于各種目的購買各類黑白灰數(shù)據(jù)，這里只列舉幾種常見的：

1. 電信欺詐，購買知名電商的近期消費數(shù)據(jù)、用戶詳細信息

2. 盜號，購買用戶名密碼用于撞庫，偷玩家裝備，甚至直接轉(zhuǎn)賬

3. 非法廣告商，購買消費、購物車、聯(lián)系方式等數(shù)據(jù)，用于精準營銷

方法

常見的拖庫方式主要有以下幾種：

SQL注入

這個最常見，通過SQL注入漏洞可以緩慢偷走數(shù)據(jù)庫中的數(shù)據(jù)，用神器sqlmap即可。不過這個動靜特別大，攻擊時間長。

上傳漏洞/遠程命令執(zhí)行

通過上傳漏洞或者遠程命令執(zhí)行漏洞上傳webshell到服務(wù)器上，通過webshell的數(shù)據(jù)庫管理功能的大馬即可把數(shù)據(jù)庫數(shù)據(jù)dump走。

運維配置不當(dāng)

這個情況就特別多了，我見過的有phpmyadmin弱密碼甚至空密碼導(dǎo)致數(shù)據(jù)被偷走了，還有數(shù)據(jù)庫對外開放，賬戶被github泄露了，而且還沒限制賬戶登錄IP的。

數(shù)據(jù)庫漏洞

直接利用數(shù)據(jù)庫的cve漏洞，繞過認證鑒權(quán)等限制，直接把數(shù)據(jù)拷貝走。這種比較少見，因為絕大多數(shù)數(shù)據(jù)還是在內(nèi)網(wǎng)，無法在外網(wǎng)直接發(fā)起攻擊，需要滲透到內(nèi)網(wǎng)才能進行這類攻擊。

防范

由于拖庫的方式很多，所以很難僅統(tǒng)一某一種方式可以徹底杜絕，這里從縱深防御，協(xié)防聯(lián)動的角度來介紹。

WAF/WEB-IDS

WAF無法百分百解決拖庫的問題，但是可以提高攻擊門檻，有效低于中小黑客的自動化攻擊，對SQL注入、上傳漏洞、遠程命令執(zhí)行導(dǎo)致的拖庫有較好的防御效果。

WEB-IDS由于是旁路部署，可以更好的使用機器學(xué)習(xí)以及語法分析能力，所以針對SQL注入、上傳漏洞、遠程命令執(zhí)行導(dǎo)致的拖庫有更好的檢測能力。

數(shù)據(jù)庫審計/數(shù)據(jù)庫防火墻

這個是最直接的保護方式，直接在數(shù)據(jù)庫的前端處理全部對數(shù)據(jù)庫的訪問，但是其部署難度較大，不如WAF部署方便。另外對于通過入侵數(shù)據(jù)庫服務(wù)器直接copy走原始的數(shù)據(jù)的攻擊，難以防范。

HIDS

監(jiān)控對數(shù)據(jù)庫文件以及備份文件的讀寫行為，發(fā)現(xiàn)直接copy即報警。

DLP

通常DLP部署在辦公網(wǎng)防止員工泄密的，但是確實有用戶把DLP設(shè)備部署在IDC，從http流量中識別高危的身份證號、郵箱等數(shù)據(jù)庫的泄露行為。

思路不是從攻擊行為的角度，而是從造成的結(jié)果的角度，比如發(fā)現(xiàn)某個連接返回超過100個身份證號即報警，但是如果是通過SQL的盲注來拖庫，DLP檢測會失效。

主機加固

加強運維管理，盡量及時升級補丁，配置acl，數(shù)據(jù)庫賬戶根據(jù)用途區(qū)分等。