境外黑客组织提前行动，瞄准我国公司实施网络攻击

2015 年 10 月 6 日

文章目录

一、黑客最新攻击动向

近日，境外黑客组织（包括匿名者组织在内的多个黑客组织组成的黑客联盟）声称将于2020年2月13日针对我国视频监控系统实施网络攻击破坏活动，并公布了其已掌握的一批在线视频监控系统的境内IP地址，该声明引起了网络安全业内的高度关注。

启明星辰ADLab追踪了该组织在Pastebin上的相关攻击活动记录，发现其历史上曾多次将攻击目标锁定至我国的政府和企业网站。

攻击成功则会展示该组织的相关攻击页面。

得注意的是，虽然距离黑客宣称的攻击日期还有数日，但黑客组织已经开始发起行动。2020年2月9日凌晨4时，该团伙再次发布推文公布了针对中国某海运集团公司网站进行的渗透攻击活动。

启明星辰ADLab安全研究人员迅速对该事件进行了分析，攻击数据显示该网站可能存在oracle漏洞CVE-2012-1675，黑客利用该漏洞进行的攻击可以导致oracle组件和合法数据库之间遭到中间人攻击、会话劫持或拒绝服务攻击等，需要引起相关企业的高度重视。

我们从黑客的Pastebin展示页面中发现了此次攻击的部分数据，该团伙通过暴力猜解、漏洞利用等方式最终有可能窃取到目标的oracle数据库数据，相关攻击流程如下：

攻击团伙首先利用nmap工具针对目标网站进行了扫描，获取到目标服务器的相关指纹信息。

目标服务器开启了oracle数据库的默认监听端口1521，且数据库相应版本较低，可能存在诸多漏洞，这也给了攻击团伙可乘之机（1521端口是oracle数据库默认的端口，主要作用是用来监听来自客户端的数据库链接请求）。

攻击团伙进一步针对1521端口的oracle 数据库实施了渗透测试和攻击，攻击过程中共使用到两个开源的oracle渗透测试项目（odat攻击框架进行远程测试Oracle数据库的安全性 ; oracle-tns-poison进行攻击投毒）。

首先，攻击者通过odat攻击框架连接至目标oracle数据库，并进一步通过PasswordGuesser模块进行暴力猜解。