Các tác nhân đe dọa đang tích cực khai thác tính năng External Jobs của Oracle Database Scheduler để thực thi các lệnh tùy ý trên các máy chủ cơ sở dữ liệu doanh nghiệp. Kỹ thuật này cho phép tạo các điểm khởi đầu ban đầu một cách lén lút và nhanh chóng leo thang đặc quyền, dẫn đến các cuộc tấn công Oracle Database nghiêm trọng.
Bằng cách lạm dụng tệp thực thi extjobo.exe, kẻ tấn công có thể chạy các lệnh PowerShell được mã hóa, thiết lập các kênh hầm (tunnel) được mã hóa với Ngrok, và triển khai ransomware. Tất cả những hành động này được thực hiện trong khi né tránh sự phát hiện thông qua các quy trình dọn dẹp mạnh mẽ.
Khai thác Điểm yếu & Phương thức Xâm nhập
Xác định và Khai thác Oracle Database Scheduler
Trong một cuộc điều tra phản ứng sự cố gần đây chi tiết bởi Yarix Labs, các nhà điều tra đã phát hiện kẻ tấn công nhắm mục tiêu vào một phiên bản Oracle Database bị lộ bằng cách liên tục cố gắng kết nối với tư cách người dùng SYS.
Ban đầu, các nỗ lực đăng nhập thất bại với mã lỗi 28009 cho thấy tài khoản hợp lệ đã được sử dụng nhưng thiếu quyền SYSDBA. Điều này ngụ ý kẻ tấn công đã thu thập được thông tin đăng nhập SYSDBA hợp lệ.
Điểm xâm nhập được phát hiện là việc sử dụng một chức năng của Oracle DBS, một dịch vụ bị lộ đang hoạt động trên Máy chủ Cơ sở dữ liệu của nạn nhân. Chức năng này cho phép thực thi lệnh từ xa.
Với các đặc quyền này, tác nhân đe dọa đã gọi thành phần External Jobs của Database Scheduler (extjobo.exe). Thành phần này lắng nghe trên một named pipe và thực thi các lệnh nhận được với cùng đặc quyền của dịch vụ Scheduler.
Triển khai Payload và Kỹ thuật Né tránh
Sử dụng extjobo.exe, kẻ tấn công đã tạo và thực thi một script PowerShell được mã hóa Base64. Script này thực hiện việc thu thập thông tin hệ thống, gọi WSMan để chạy lệnh từ xa và tải xuống các payload bổ sung từ máy chủ Command-and-Control (C2) tại địa chỉ 80.94.95.227.
Các payload này, được đặt tên theo thứ tự (ví dụ: tfod.cmd), đã bị xóa ngay sau khi thực thi. Điều này nhằm ngăn chặn phân tích pháp y nội dung của chúng. Bằng chứng cho thấy kẻ tấn công đã tận dụng mã từ một dự án GitHub mã nguồn mở để lạm dụng Oracle scheduler, được điều chỉnh để tạo một reverse shell TCP trên máy chủ bị xâm nhập.
Thiết lập Duy trì và Leo thang Đặc quyền
Sử dụng Ngrok để Tạo Kênh RDP
Sau khi thiết lập thực thi mã ban đầu, kẻ xâm nhập đã triển khai Ngrok để tạo kênh (tunnel) lưu lượng Remote Desktop Protocol (RDP) từ máy chủ cơ sở dữ liệu nội bộ ra internet.
Một tệp cấu hình chứa mã thông báo xác thực của kẻ tấn công đã được ghi vào ngrok.yml, và Ngrok được khởi động, làm lộ cổng RDP 3389 qua một kênh được mã hóa.
Kẻ tấn công sau đó đã buộc tạo một tài khoản cục bộ (“Admine”), nâng cao đặc quyền của nó và kết nối thành công qua RDP thông qua kênh Ngrok.
Việc tạo tệp thực thi Ngrok tại đường dẫn “C:\Users\Public\ngrok.exe” cũng được ghi nhận, gợi ý một liên kết trực tiếp giữa tệp “ngr.bat” và tệp thực thi “ngrok.exe”. Đây là một dấu hiệu rõ ràng của việc chiếm quyền điều khiển hệ thống.
Leo thang Đặc quyền Hậu kỳ
Việc leo thang đặc quyền tiếp tục bằng việc sử dụng độc hại Process Hacker (được đổi tên thành PT.exe) và khả năng thao túng token thông qua Task Manager để chiếm quyền tài khoản quản trị viên miền.
Kẻ tấn công đã thực hiện đăng nhập mạng (Loại 3) với tư cách người dùng quản trị, cấp quyền kiểm soát hoàn toàn máy chủ cơ sở dữ liệu. Toàn bộ quá trình này là một phần của chuỗi tấn công mạng có chủ đích.
Triển khai và Thực thi Mã độc Ransomware
Với quyền truy cập được nâng cao, tác nhân đã chuẩn bị một payload mã độc ransomware (“win.exe”) trong thư mục PerfLogs. Kẻ tấn công thiết lập một tác vụ theo lịch trình có tên “Windows Update BETA” để thực thi nó khi hệ thống khởi động dưới tài khoản NT AUTHORITY\SYSTEM.
Nhật ký thực thi ghi lại việc tạo một tệp nhật ký mã hóa (mcv.dll) đã ghi lại các tài nguyên được mã hóa. Mã độc ransomware đã mã hóa các tệp với một phần mở rộng mới, tạo ghi chú đòi tiền chuộc “ElonsHelp.txt” và nhúng email liên hệ để đàm phán.
Hành động Sau Mã hóa và Xóa Dấu vết
Sau khi mã hóa, kẻ tấn công đã thực hiện sửa đổi registry dưới khóa HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options để tắt Ngrok khi khởi động. Điều này đảm bảo kênh được mã hóa sẽ không tồn tại.
Cuối cùng, tất cả các công cụ và payload đã thực thi – bao gồm Ngrok, tfod.cmd, ngr.bat và ss.exe – đã bị xóa thông qua các lệnh xóa trì hoãn (sử dụng ping 127.0.0.1 để tạo độ trễ). Các tác vụ theo lịch trình cũng bị xóa để loại bỏ dấu vết pháp y của cuộc tấn công Oracle Database.
Các Chỉ số Xâm phạm (IOCs)
- C2 Server IP: 80.94.95.227
- Ngrok Executable Path:
C:\Users\Public\ngrok.exe - Ngrok Config File:
ngrok.yml - Ransomware Payload:
win.exe - Encryption Log File:
mcv.dll - Ransom Note:
ElonsHelp.txt - Scheduled Task Name:
Windows Update BETA - Registry Key Modified:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options - Attacker Tools:
tfod.cmd,ngr.bat,ss.exe,PT.exe(Process Hacker) - Malicious User Account: Admine
Biện pháp Kiểm soát và An toàn Thông tin
Các tổ chức sử dụng Oracle Database Scheduler cần triển khai các biện pháp kiểm soát sau để tăng cường an toàn thông tin và ngăn chặn các cuộc tấn công mạng tương tự:
- Giới hạn quyền truy cập: Hạn chế tối đa các tài khoản có quyền thực thi External Jobs. Chỉ cấp quyền khi thực sự cần thiết và giám sát chặt chẽ.
- Giám sát hoạt động Scheduler: Triển khai giám sát nâng cao các hoạt động của Database Scheduler, đặc biệt là các lệnh được thực thi qua
extjobo.exe. Bất kỳ hoạt động bất thường nào cũng cần được cảnh báo ngay lập tức. - Phân đoạn mạng: Đảm bảo máy chủ cơ sở dữ liệu được phân đoạn mạng phù hợp, hạn chế khả năng truy cập từ internet và các khu vực ít tin cậy.
- Tăng cường xác thực: Sử dụng xác thực đa yếu tố (MFA) cho các tài khoản quản trị Oracle Database.
- Kiểm tra định kỳ: Thực hiện kiểm tra bảo mật và đánh giá lỗ hổng định kỳ cho các cấu hình Oracle Database, bao gồm cả các dịch vụ bị lộ.
- Nâng cao khả năng hiển thị: Tăng cường khả năng hiển thị vào việc thực thi lệnh đặc quyền trên máy chủ cơ sở dữ liệu để phát hiện và phản ứng nhanh chóng với các hành vi đáng ngờ.
Bằng cách chủ động bảo mật các tính năng của Oracle Scheduler và tăng cường khả năng hiển thị vào việc thực thi lệnh đặc quyền, các nhà phòng thủ có thể ngăn chặn các nỗ lực xâm nhập tương tự và bảo vệ môi trường cơ sở dữ liệu quan trọng khỏi các cuộc tấn công Oracle Database.
