Tehdit aktörleri, kurumsal veritabanı sunucularında keyfi komutlar yürütmek, gizli ilk dayanakları ve ayrıcalıkların hızlı bir şekilde artarlanmasını sağlamak için Oracle Veritabanı Zamanlayıcısı’nın harici işler özelliğini kullanmaya başladı.
ExtJobo.exe yürütülebilir dosyasını kötüye kullanarak, saldırganlar kodlanmış PowerShell komutlarını çalıştırabilir, NGROK ile şifreli tüneller oluşturabilir ve agresif temizleme rutinleri aracılığıyla algılamadan kaçınırken fidye yazılımlarını dağıtabilir.
Yakın tarihli bir olay müdahalesi katılımında, araştırmacılar saldırganların tekrar tekrar SYS kullanıcısı olarak bağlanmaya çalışarak maruz kalan bir Oracle veritabanı örneğini hedef aldığını keşfettiler.
İlk başarısız oturum açma, 28009 – SYSDBA Maddesi olmadan geçerli kimlik bilgilerini belirlemek – geçerli SYSDBA kimlik bilgilerinin alındığını onaylayan hata kodu verdi.
Algılanan giriş noktası, veritabanı sunucusunda etkin olan ve komutların uzaktan yürütülmesine izin veren açık bir hizmet olan Oracle DBS işlevinin kullanılmasıdır.
Bu ayrıcalıklarla, tehdit oyuncusu, veritabanı zamanlayıcısının adlandırılmış bir boru dinleyen ve zamanlayıcı hizmeti ile aynı ayrıcalıklara sahip alınan komutları yürüten harici iş bileşenini (extJobo.exe) çağırdı.
ExtJobo.exe’yi kullanarak saldırgan, sistem bilgilerini toplayan, Wsman’ı uzaktan çalıştırmaya çağıran ve 80.94.95.227 numaralı telefondan komut ve kontrol (C2) sunucusundan ek yükler indiren Base64 kodlu bir PowerShell komut dosyası oluşturdu ve yürüttü.
Sıralı olarak adlandırılan bu yükler (örneğin, tfod.cmd), yürütüldükten hemen sonra silinerek içeriklerinin adli analizini önledi. Kanıtlar, saldırganın, tehlikeye atılan sunucuda bir TCP ters kabuğu ortaya çıkarmak için uyarlanmış Oracle Scheduler istismarı için açık kaynaklı bir GitHub projesinden kaldırılmış kodun bulunduğunu gösteriyor.
Şifreli tünelleme ve yanal hareket
Başlangıç kod yürütmeyi kurduktan sonra, davetsiz misafir NGROK’ı, şirket içi veritabanı sunucusundan internete uzak masaüstü protokol (RDP) trafiğini tünel olarak kullandı.
Ngrok.yml’ye saldırganın kimlik doğrulama jetonunu içeren bir yapılandırma dosyası yazıldı ve NGROK başlatıldı ve RDP bağlantı noktasını (3389) şifreli bir kanal üzerinden açığa çıkardı.
Saldırgan daha sonra yerel bir hesap oluşturmayı (“Admine”) zorladı, ayrıcalıklarını yükseltti ve RDP aracılığıyla NGROK tüneli aracılığıyla başarılı bir şekilde bağlandı.
“C: \ Users \ public \ ngrok.exe” yolunda NGROK yürütülebilir dosyasının oluşturulması, “ngr.bat” dosyası ile “ngrok.exe” yürütülebilir dosyası arasında doğrudan bir bağlantı öneren aşağıdaki şekilde görünür olarak not edildi.
İmtiyaz yükseltme, Process Hacker’ın kötü niyetli kullanımı (PT.EXE olarak yeniden adlandırıldı) ve bir Domain Yöneticisi hesabı almak için Görev Yöneticisi aracılığıyla potansiyel token manipülasyonu ile izledi.
Saldırgan, veritabanı sunucusu üzerinde tam kontrol sağlayan bir yönetim kullanıcısı olarak bir ağ oturum açması (Tip 3) gerçekleştirdi.
Yüksek erişim güvencesi ile aktör, Perflogs dizininin içinde bir fidye yazılımı yükü (“Win.exe”) düzenledi ve NT Authority \ System altında System Startup’ta yürütmek için “Windows Update Beta” adlı planlanmış bir görev ayarladı.
Yürütme günlükleri, şifreli kaynakları belgeleyen bir şifreleme günlüğü dosyasının (mcv.dll) oluşturulmasını kaydetti. Ransomware şifreli dosyalar yeni bir uzantılı, “elonshelp.txt” fidye notunu ve müzakere için gömülü iletişim e -postalarını oluşturdu.
Şifre sonrası saldırgan, başlangıçta NGROK’ı devre dışı bırakmak için HKLM \ Software \ Microsoft \ Microsoft \ Microsoft \ Microsoft \ Windows NT \ CurrentVersion \ Image Dosya Yürütme seçenekleri altında bir kayıt defteri değişikliği yürüttü.
Son olarak, NGROK, TFOD.CMD, NGR.BAT ve SS.EXE dahil olmak üzere tüm yürütülen araçlar ve yükler, gecikmiş silme komutları (PING 127.0.0.1 gecikmeleri) yoluyla kaldırıldı ve planlanan görevler, forensik izleri ortadan kaldırmak için silindi.
Hafifletme
Oracle veritabanı zamanlayıcı kullanan kuruluşlar aşağıdaki kontrolleri uygulamalıdır:
- Oracle yönetim bağlantı noktalarına ağ erişimini kısıtlayın ve kullanılmadıysa harici işleri devre dışı bırakın.
- Veritabanı yöneticileri için çok faktörlü kimlik doğrulama uygulayın ve atipik SysdBA bağlantılarını izleyin.
- ExtJobo.exe’nin kullanımını, beklenmedik PowerShell etkinliğini ve yetkisiz planlanmış görevleri tespit etmek için ana bilgisayar tabanlı izlemeyi konuşlandırın.
- Onaylı ikili dosyaları beyaz listeye alarak ve NGROK konfigürasyonları için izleme ile tünelleme yazılımının kurulumunu kontrol edin.
- Güçlü yedekleme ve kurtarma işlemlerini koruyun, olay analizi için şifreli veya kurcalanmış günlüklerin geri yüklenebilmesini sağlar.
Oracle zamanlayıcı özelliklerini proaktif olarak güvence altına alarak ve ayrıcalıklı komut yürütmeye görünürlüğü artırarak, savunucular benzer saldırı girişimlerini engelleyebilir ve kritik veritabanı ortamlarını koruyabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.