Son haftalarda, güvenlik araştırmacıları, kurumsal ortamlarda bir dayanak kazanmak için Oracle Database Scheduler’ın harici işler özelliğinden yararlanan saldırılarda bir artış gözlemlediler.
Bu teknik, zamanlayıcının Windows tabanlı veritabanı sunucularında keyfi komutlar yürütme yeteneğini kötüye kullanır ve rakiplerin çevre savunmalarını atlamasına izin verir.
İlk saldırı vektörleri, halka açık olarak maruz kalan Oracle dinleyici bağlantı noktalarının araştırılmasını ve yanlış yapılandırılmış kimlik bilgilerini veya varsayılan yönetim hesaplarından yararlanmayı içerir.
Bağlandıktan sonra, saldırganlar extjobo.exe Oraclejobscheduler hizmeti ile aynı ayrıcalıklarla komutları çalıştırmak için bileşen.
Bu tekniğin etkisi önemli olmuştur. Ağlarını ve izole veritabanı sunucularını segmentlere ayıran kuruluşlar, veritabanı zamanlayıcı işlemine yerleştirilen doğal güven nedeniyle hala tehlikeye atılmıştır.
Bir olayda, tehdit aktörleri harici Komut ve Kontrol (C2) sunucularına şifreli tüneller kurdu, yerel yönetim hesapları oluşturdu ve standart veritabanı işlemleri kisvesi altında fidye yazılımı konuşlandırdı.
Olay günlükleri, birden fazla başarısız giriş denemesini ve ardından başarılı bir SYSDBA bağlantısı, komut yürütmeden önceki kimlik bilgisi hasat veya kaba kuvvet taktiklerini gösteren başarılı bir SYSDBA bağlantısını ortaya çıkarır.
.webp)
Yarix analistleri, kimlik bilgisi ediniminin ardından rakiplerin, kodlanmış PowerShell süreçlerini ortaya çıkarmak için Oracle DBS harici işlerden yararlandığını belirtti. Bu davranış, özel yürütülebilir dosyaları diske bırakmaktan kaçınan karaya oturma tekniklerine doğru bir kaymayı vurgular.
Bunun yerine, saldırganlar taban 64 kodlu senaryoları doğrudan PowerShell’e boruladı. extjobo.exeson nokta savunmalarının karmaşıklaştırılması ve kaçınılması.
Bir durumda, saldırgan yük indirmeden önce sistem bilgilerini toplamak için bir komut yürüttü. Kod çözülmüş komut dosyası aşağıda gösterilmiştir:
$cpu = Get-CimInstance -ClassName Win32_Processor
$ram = Get-CimInstance -ClassName Win32_ComputerSystem
Write-Host $cpu.Name, $cpu.NumberOfLogicalProcessors, [math]::Round($ram.TotalPhysicalMemory/1GB,2)
Get-PSDrive -PSProvider FileSystem
Get-WmiObject -Class Win32_OperatingSystem | Select-String 'OS Name'
Get-ItemProperty -Path HKLM:\Server-Tcp -Name PortNumberHarici işler yoluyla enfeksiyon mekanizması
Oracle Database Scheduler’ın Harici İşler özelliği, veritabanı yöneticilerinin bakım görevleri için işletim sistemi komutlarını çalıştırmasına izin vermek için tasarlanmıştır.
.webp)
Bununla birlikte, tehdit aktörleri, zamanlayıcı ayrıcalıkları olan herhangi bir kullanıcının, extjobo.exe ve kötü niyetli komutlar enjekte edin. Gözlenen saldırılarda, rakipler önce Sysdba olarak doğrulandı, ardından çağrıldı:
extjobo.exe -noservice -exec C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -EncodedCommand JABjAD0AbgBl…Bu çağrı, komut dosyası yürütme politikalarını atlar (-ep Bypass) ve baz 64 kodlu yükleri doğrudan belleğe enjekte eder.
Zamanlayıcı bir boruda dinler – tipik olarak erişilebilir ORACLEDBS Hizmet Hesabı – Geleneksel izleme araçları tarafından tespit edilebilen yeni işlemleri ortaya çıkarmadan komut yürütme.
İlk keşiften sonra, saldırganlar C2 sunucularından ikincil yükleri indirmek, ters mermiler oluşturmak ve yerel bir hesap oluşturmak için benzer komutlar kullandılar. Admine kalıcılık ve yanal hareket için.
Meşru zamanlayıcı işlevselliğini kötüye kullanarak, rakipler diske yürütülebilir eserler yazmaktan kaçınır ve keşif, yük evrelemesi ve tünelleme için yerel Windows araçlarına güvenir.
Günlükler, her yürütme örneğinden sonra saldırganların geçici toplu iş dosyalarını ve zamanlayıcı görevlerini sildiğini ve adli analizi daha da engellediğini doğrular.
Bu teknik, zamanlayıcı ayrıcalıkları için daha sıkı erişim kontrolleri, adlandırılmış boru aktivitesinin uyanık izlenmesi ve olağandışı için anomali tespiti ihtiyacının altını çiziyor. extjobo.exe Oracle veritabanı ortamlarında invokasyonlar.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.
