首页 > 安全钻研 > 钻研汇报 > 攻击与威胁分析

【黑客追击】境外黑客组织提前行动，，对准我国公司执行网络攻击

颁布功夫 2020-02-09

一、黑客最新攻击动向

近日，，境外黑客组织（蕴含匿名者组织在内的多个黑客组织组成的黑客联盟）宣称将于2020年2月13日针对我国视频监控系统执行网络攻击粉碎活动，，并颁布了其已把握的一批在线视频监控系统的境内IP地址，，该申明引起了网络安全业内的高度关注。

OG东方厅·(中国大陆)

OG东方厅ADLab追踪了该组织在Pastebin上的有关攻击活动纪录，，发现其汗青上曾屡次将攻击指标锁定至我国确当局和企业网站。

攻击成功则会展示该组织的有关攻击页面。

OG东方厅·(中国大陆)

值妥贴心的是，，固然距离黑客宣称的攻击日期还罕见日，，但黑客组织已经起头提议行动。2020年2月9日凌晨4时，，该团伙再次颁布推文颁布了其针对中国某海运集团公司网站进行的渗入攻击活动。

OG东方厅·(中国大陆)

OG东方厅ADLab安全钻研人员迅速对该事务进行了分析，，攻击数据显示该网站可能存在oracle缝隙CVE-2012-1675，，黑客利用该缝隙进行的攻击能够导致oracle组件和合法数据库之间遭到中央人攻击、会话劫持或回绝服务攻击等，，必要引起有关企业的高度器重。

二、攻击细节分析

我们从黑客的Pastebin展示页面中发现了这次攻击的部门数据，，该团伙通过暴力猜解、缝隙利用等方式最终有可能窃取到指标的oracle数据库数据，，有关攻击流程如下：：：

攻击团伙首先利用nmap工具针对指标网站进行扫描，，获取到指标服务器的有关指纹信息。

OG东方厅·(中国大陆)

指标服务器开启了oracle数据库的默认监听端口1521，，且数据库相应版本较低，，可能存在诸多缝隙，，这也给了攻击团伙可乘之机（1521端口是oracle数据库默认的端口，，重要作用是用来监听来自客户端的数据库链接要求）。

攻击团伙进一步针对1521端口的oracle 数据库执行了渗入测试和攻击，，攻击过程中共使用到两个开源的oracle渗入测试项目（odat攻击框架进行远程测试Oracle数据库的安全性 ; oracle-tns-poison进行攻击投毒）。

2.1 利用odat攻击框架进行安全性测试

首先，，攻击者通过odat攻击框架衔接至指标oracle数据库，，并进一步通过PasswordGuesser�？？？榻斜┝Σ陆�。

OG东方厅·(中国大陆)

同时探测到当前oracle版本可能存在TNS poisoning (CVE-2012-1675)缝隙攻击。

OG东方厅·(中国大陆)

攻击团伙进一步通过Metasploit5渗入测试框架的tnspoison_checker�？？？槎詏racle进行了缝隙检考试证。

OG东方厅·(中国大陆)

返回信息批注存在CVE-2012-1675缝隙，，并进一步获取到oracle的Oracle System ID(SID）。

OG东方厅·(中国大陆)

2.2 通过oracle-tns-poison项目执行投毒攻击

攻击共分为三个步骤：：：

（1）通过check_tns_poison�？？？樵俅窝橹し煜兜目捎眯�。

OG东方厅·(中国大陆)

（2）通过proxy�？？？榻冻谭衿鞯膐racle数据代理转发至本地。

OG东方厅·(中国大陆)

（3）执行tnspoisonv1�？？？�，，针对指标数据库进行投毒攻击（CVE-2012-1675）。

OG东方厅·(中国大陆)

2.3 CVE-2012-1675缝隙介绍

CVE-2012-1675缝隙是Oracle允许攻击者在不提供用户名及密码的情况下，，向远程“TNS Listener”组件处置的数据投毒的缝隙。攻击者可利用缝隙将数据库服务器的合法“TNS Listener”组件中的数据转发给攻击者的本地系统，，造成组件和合法数据库之间的中央人攻击、会话劫持或回绝服务攻击，，有关示意图如下：：：

OG东方厅·(中国大陆)

◆有关防护和修复建议

建安身够壮实的口令，，切勿使用8位以下密码或字典库中的口令，，定期更换安全密码进行预防。

针对Oracle进行补丁升级（更新cpuoct2012-1515893补�。�；；把稳：：：对于cpuoct2012-1515893补丁要求服务器端和利用服务器端同时升级，，不然利用系统将无法接见Oracle。

若无法对Oracle升级，，需采办或装置具备虚构补丁职能的数据库安全产品，，预防对CVE-2012-1675及其它缝隙的利用。

可针对数据库进行全库或者敏感字段加密，，保障即便TNS Listener被攻击，，主题数据仍旧不会泄露。

三、总结

凭据目前把握的情况，，该境外黑客组织善于渗入攻击和缝隙利用，，且有可能已经把握了大量物联网设备安全缝隙，，并具备进一步利用的能力。由于该组织持久针对我国进行攻击，，但愿有关用户和企业加强自身网络风险排查和安全加固工作，，进一步提高防护意识，，高度警惕境外黑客组织下一步可能的攻击行动。

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研

【黑客追击】境外黑客组织提前行动，，对准我国公司执行网络攻击

关于OG东方厅

解决规划

安全钻研

联系OG东方厅

7*24小时服务热线

软件升级

投资者关系

安全钻研

【黑客追击】境外黑客组织提前行动，，对准我国公司执行网络攻击

7*24小时服务热线

【黑客追击】境外黑客组织提前行动，，对准我国公司执行网络攻击