数据安全 | 黑产研究之拖库

简介:

前言

通常web业务的重要数据诸如账户、交易信息都会存储在数据库中,这也使得数据库成为黑产攻击的重要目标。所谓拖库,就是通过入侵网站,非法获取数据库内容。本文将从黑产的动机、常见手段和如何防范三个角度讲解下拖库的相关知识。

动机

黑产进行拖库的动机很多,我归纳主要有以下几种。

商业打击

主要目的不是将窃取的数据变现,而是通过散播消息,从商誉的角度打击受害企业,这种对电商、P2P、保险企业尤其致命,可以让广大消费者对该企业的安全能力产生严重怀疑以至于不信任。

利益驱动

主要目的是将窃取的数据变现。

炫耀能力

炫耀能力,敲诈勒索的前奏。

黑色产业链

拖库只是地下市场贩卖数据的一个环节,整个流程已经形成了完整的产业链,各司其职,我们拿个简化的模型介绍下,整个环节中有这样几个角色。

拖库者

专门负责入侵网站,获取原始的数据库文件。

洗库者

专门负责从拖库者那里收购原始的数据库文件,然后根据不同的用途从原始数据中提取有用的数据。

数据贩卖者

专门负责从洗库者(有时也直接从拖库者那里直接购买原始数据库文件)收购洗完整理好的数据,售卖给各类买家。哪些数据可以用于哪些用途是个非常复杂的话题,这里就不展开讨论了。

数据买家

数据买家就很复杂了,处于各种目的购买各类黑白灰数据,这里只列举几种常见的:

1. 电信欺诈,购买知名电商的近期消费数据、用户详细信息

2. 盗号,购买用户名密码用于撞库,偷玩家装备,甚至直接转账

3. 非法广告商,购买消费、购物车、联系方式等数据,用于精准营销

方法

常见的拖库方式主要有以下几种:

SQL注入

这个最常见,通过SQL注入漏洞可以缓慢偷走数据库中的数据,用神器sqlmap即可。不过这个动静特别大,攻击时间长。

上传漏洞/远程命令执行

通过上传漏洞或者远程命令执行漏洞上传webshell到服务器上,通过webshell的数据库管理功能的大马即可把数据库数据dump走。

运维配置不当

这个情况就特别多了,我见过的有phpmyadmin弱密码甚至空密码导致数据被偷走了,还有数据库对外开放,账户被github泄露了,而且还没限制账户登录IP的。

数据库漏洞

直接利用数据库的cve漏洞,绕过认证鉴权等限制,直接把数据拷贝走。这种比较少见,因为绝大多数数据还是在内网,无法在外网直接发起攻击,需要渗透到内网才能进行这类攻击。

防范

由于拖库的方式很多,所以很难仅统一某一种方式可以彻底杜绝,这里从纵深防御,协防联动的角度来介绍。

WAF/WEB-IDS

WAF无法百分百解决拖库的问题,但是可以提高攻击门槛,有效低于中小黑客的自动化攻击,对SQL注入、上传漏洞、远程命令执行导致的拖库有较好的防御效果。

WEB-IDS由于是旁路部署,可以更好的使用机器学习以及语法分析能力,所以针对SQL注入、上传漏洞、远程命令执行导致的拖库有更好的检测能力。

数据库审计/数据库防火墙

这个是最直接的保护方式,直接在数据库的前端处理全部对数据库的访问,但是其部署难度较大,不如WAF部署方便。另外对于通过入侵数据库服务器直接copy走原始的数据的攻击,难以防范。

HIDS

监控对数据库文件以及备份文件的读写行为,发现直接copy即报警。

DLP

通常DLP部署在办公网防止员工泄密的,但是确实有用户把DLP设备部署在IDC,从http流量中识别高危的身份证号、邮箱等数据库的泄露行为。

思路不是从攻击行为的角度,而是从造成的结果的角度,比如发现某个连接返回超过100个身份证号即报警,但是如果是通过SQL的盲注来拖库,DLP检测会失效。

主机加固

加强运维管理,尽量及时升级补丁,配置acl,数据库账户根据用途区分等。


本文作者:兜哥谈安全

来源:51CTO

相关文章
|
26天前
|
监控 安全 网络安全
网络“裸奔”时代下,如何有效应对网络攻击、数据泄露和隐私侵犯?
网络“裸奔”时代下,如何有效应对网络攻击、数据泄露和隐私侵犯?
16 0
|
机器学习/深度学习 安全 大数据
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道
|
安全 数据安全/隐私保护
社交网站存在七大安全风险 可能成为用户隐私泄露重灾区
3月30日,瑞星公司发布《网民隐私与社交网站(SNS)安全报告(2009)》,针对目前非常热门社交网站用户发出安全警告。报告指出,网民在社交网站注册个人资料之后,很容易遭遇手机号泄露、MSN和邮箱帐号密码被盗用等七大安全风险,而利用各种方式骗取网民个人资料用以牟利,已经成为社交网站利润的重要来源。
2225 0
|
安全 网络安全 数据安全/隐私保护
|
安全 算法 数据安全/隐私保护
|
安全 数据库 数据安全/隐私保护
个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客
本文讲的是个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客,每隔一段时间,个人信息安全这一话题总会重回公众视线,这一次上了安全圈头条的事件是“50亿条公民信息泄露 京东前员工牵涉其中”。笔者读到这条新闻的时候只觉得汗毛竖起,不仅是感叹于50亿这一庞大的数量,更是对新闻所披露的细节细思极恐。
2032 0
|
安全 数据库 数据安全/隐私保护