当前位置:主页 > CC防护 > 正文

云服务器防护_如何解决_澳门纸牌防御

03-30 CC防护

云<a href='http://www.ddosgb.com/' target='_blank'><u>服务器防护</u></a>_如何解决_澳门纸牌防御

今天,数据泄露对每个组织都是一个威胁。根据Risk Based Security在2017年上半年发布的一份报告,通过2227次公开披露的数据泄露,超强cc防御,超过60亿条记录被曝光。被曝光的记录数量已经高于2016年底的历史最高纪录。组织的数据库服务器通常是外部和内部攻击者的主要目标。我们最近开始了一个新的研究项目,我们命名为StickyDB,以了解更多关于数据库黑客的知识——了解常见的数据库攻击、攻击者使用的工具和技术、他们如何获得访问权限、他们的行为一旦进入内部、他们的最终目标是什么等等。为了进行这项研究,我们为流行的SQL/NoSQL数据库(如microsoftsqlserver、MySQL、Oracle和MongoDB)建立了一个蜜罐网络,linuxddos攻击防御,然后在六个月内监控对这些数据库的访问。为了让入侵者的生活更轻松(也更具吸引力),我们在前端用弱默认凭证和易受攻击的web应用程序配置了数据库蜜罐。图1:我们的数据库蜜罐网(映射到Shodan)除此之外,我们的蜜罐"参与"了一些广泛传播的数据库攻击活动,比如我们去年写的MongoDB和MySQL勒索软件攻击,这些攻击感染了数以万计的数据库。我们把我们的研究成果分成了一系列的帖子。在第一篇文章中,我们将深入研究黑客用来访问数据库的一种方法,称为SQL混淆。我们将回顾它是什么,它是如何工作的,以及攻击者使用它的方式。什么是SQL混淆?由于了解保护数字资产的安全控制措施,攻击者在许多情况下使用规避技术进入雷达,在没有被安全机制发现和阻止的情况下发动攻击。最流行的规避技术之一是模糊处理,主要适用于基于模式的安全机制,即生成一个攻击实例,该实例基本上执行攻击的意图,但故意构建为看起来与安全控制寻找的模式截然不同。例如,混淆SQL语句(我们稍后将其称为SQL混淆)非常常见,它是绕过web应用程序防火墙(WAF)和执行SQL注入攻击,并混淆SQL解析数据库流量的数据库活动监视(DAM)解决方案。这种技术在攻击者、自动化工具和笔测试人员中很常见,它们可以隐式地对数据库运行SQL命令。支持SQL注入攻击的最常见方法之一是使用SQL十六进制编码,其中纯文本"可读"的SQL事务将转换为十六进制字符(0-9,a-F),因此使它们无法读取,并且更难以通过DAM和数据库防火墙(DBF)解决方案进行监控。因此,DAM解决方案中的"select*from passwords"看起来像:"73656c56374202a2066726f6d2070617373776f726473"。虽然SQL-HEX编码攻击与所有数据库相关,但在我们的研究中,我们主要针对sqlserver和MySQL数据库。SQL十六进制编码攻击的模式在数据分析的基础上,我们发现了几种sqlhex编码攻击模式。令人惊讶的是,ddos攻击与防御,SQL Server上五分之一的攻击查询都利用了十六进制编码技术。这种类型的攻击在MySQL数据库中不太常见。在本节中,我们将介绍这些攻击的常见模式,并解释它们的目的和结构。Microsoft SQL Server以下是针对SQL Server的十六进制编码攻击的最常见模式:在上面的例子中,当攻击命令被编码为十六进制字符串时,它们被放在变量a中。然后由exec(@a)语句执行模糊命令。在十六进制编码的查询背后,我们发现了各种类型的攻击。我们将在"模糊查询的隐藏"部分展示一些此类攻击的示例。我们在Microsoft SQL Server中观察到的另一个十六进制查询示例:上面的Transact-SQL(T-SQL)向目标系统传递恶意负载。它创建一个文件(通常是可执行文件或DLL)并将其写入目标系统上的指定位置。攻击是用ADODB.流对象(类标识符为"00000566-0000-0010-8000-00AA006D2EA4")和OLE自动化[1](sp_OA)存储过程。OLE过程允许您从T-SQL中使用COM对象[2]。可以使用这些过程创建COM对象并使用该对象的方法和属性。例如,ddos怎么防御,使用File System对象直接在T-SQL中打开、读取和写入文件。MySQL数据库通过对MySQL的攻击分析,我们发现了三种十六进制编码的查询模式。这些模式旨在通过SQL命令向目标系统交付有效负载。模式1和模式2中的命令集合将十六进制编码的可移植可执行文件(PE)加载到表中,然后将其提取到目标系统上的文件中。模式3中的命令集合,将DLL解码并加载到目标系统上的文件中。然后,它创建一个新的SQL函数,该函数驻留在传递的DLL中,并使用SELECT命令执行该函数。此函数下载并在特定位置保存另一个可执行文件,将其权限更改为"777"(每个人都可以读写和执行),最后执行它。在模糊查询的掩护下我们收集并解码了十六进制编码的攻击查询,目的是了解模糊查询背后的攻击。我们发现,十六进制编码的查询通常用于MySQL和mssqlserver,作为高级的二进制到十六进制转换方法,通过SQL命令将有效负载传递到目标系统。一旦负载在目标系统上,它就从十六进制格式转换回二进制可执行文件,然后执行。我们认识到不同的有效载荷传递和执行方法。这些方法将在我们的下一篇博客文章中讨论。十六进制编码的查询还用于修改数据库安全配置,以增加攻击面。它们通常表现为启用服务和特性。以下查询启用高级选项并关闭默认跟踪。默认跟踪提供了一个丰富的持久日志,记录了主要与配置选项相关的活动和更改。然后,它们使用fn_trace_getinfo过程检索有关所有现有跟踪的信息,然后停止它们。此外,网络安全防护,我们还观察到针对MS SQL的攻击,这些攻击的目的是通过调用xp_servicecontrol()过程来控制Microsoft Windows SharedAccess和SQL Server代理服务。这些攻击停止了负责Internet连接共享的Microsoft Windows SharedAccess服务。此操作实际上是在停止Windows防火墙。此外,攻击者使用xp_servicecontrol()过程来启动SQL Server代理服务,该服务运行包含进一步攻击命令的SQL作业。下一个SQL混淆只是攻击者使用的一种方法。在本系列的下一篇文章中,我们将描述远程代码执行技术、代码攻击者的运行方式、他们如何掩盖他们的行踪以及如何降低风险。[1] OLE自动化是由Microsoft创建的进程间通信机制。[2] 组件对象模型(Component Object Model,COM)是微软公司于1993年推出的软件组件二进制接口标准。它用于在大量编程语言中创建进程间通信对象。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/39249.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5420169访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X