Вход через базу данных, выход через туннель — формула идеального киберпреступления
NewsMakerСпециалисты раскрыли цепочку событий, ведущую от уязвимости к полному контролю.
Злоумышленники нашли способ использовать планировщик Oracle Database для проникновения в корпоративные сети. Уязвимость кроется в механизме External Jobs, запускаемом через утилиту extjobo.exe. Эта функция позволяет выполнять команды от имени службы планировщика, и именно её атакующие применяют для закрепления в системе и дальнейшего повышения привилегий.
В ходе одного из расследований специалисты выявили, что неизвестные пытались войти в открытую базу Oracle под пользователем SYS. Ошибки с кодом 28009 указывали на наличие корректных учётных данных без роли SYSDBA, что подтверждало успешное получение расширенных прав. Доступ к серверу обеспечивался через вызов функции планировщика, что позволило удалённо запускать команды.
Далее через extjobo.exe был создан и исполнен PowerShell-скрипт в Base64-кодировке. Он собирал информацию о системе, вызывал WSMan для удалённых операций и скачивал дополнительные модули с управляющего узла по адресу 80.94.95.227. Эти файлы (например, tfod.cmd) сразу удалялись, чтобы затруднить анализ. Следы указывали на использование переработанного открытого кода с GitHub, предназначенного для эксплуатации Oracle Scheduler, с доработкой под TCP reverse shell.
После закрепления на сервере злоумышленники развернули Ngrok для туннелирования RDP-трафика наружу. Конфигурация с токеном авторизации сохранялась в ngrok.yml, а исполняемый файл размещался в «C:\Users\Public\ngrok.exe». Созданный локальный пользователь с именем «Admine» получил административные полномочия, после чего вход через туннель оказался успешным. В арсенале также использовалась утилита Process Hacker, переименованная в PT.exe, и техники манипуляции токенами для получения прав доменного администратора. Лог входа типа 3 зафиксировал доступ под учётной записью с максимальными полномочиями.
На следующем этапе в директории PerfLogs был размещён файл win.exe — будущий шифровальщик . Для его автоматического запуска злоумышленники оформили задачу Windows Update BETA, выполняемую от имени SYSTEM при старте ОС. При срабатывании зловред создавал лог mcv.dll, фиксирующий зашифрованные ресурсы. Файлы получали новый суффикс, а рядом появлялась записка с названием ElonsHelp.txt, где указывались адреса для переговоров.
После этого в реестре под веткой HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options была внесена правка, отключавшая автозапуск Ngrok, чтобы скрыть следы выхода наружу. Все вспомогательные компоненты — от ss.exe до ngr.bat — были уничтожены с задержкой через ping, а задачи планировщика удалены .
Инцидент показывает, насколько опасной становится комбинация легитимных функций Oracle Database и сторонних инструментов администрирования в руках атакующих. Чтобы снизить риски, компаниям рекомендуется ограничить сетевой доступ к управляющим портам Oracle и отключить External Jobs, если они не нужны.
Администраторов стоит перевести на многофакторную аутентификацию и отслеживать нетипичные подключения SYSDBA. На хостах нужно внедрять контроль запуска extjobo.exe, а также мониторить PowerShell и нестандартные задания планировщика. Отдельное внимание следует уделить запрету несанкционированных программ для туннелирования: Ngrok должен блокироваться или отслеживаться по конфигурациям. И, наконец, жизненно важно иметь актуальные резервные копии и сохранять целостность журналов, чтобы разбирать даже тщательно замаскированные атаки.
Злоумышленники нашли способ использовать планировщик Oracle Database для проникновения в корпоративные сети. Уязвимость кроется в механизме External Jobs, запускаемом через утилиту extjobo.exe. Эта функция позволяет выполнять команды от имени службы планировщика, и именно её атакующие применяют для закрепления в системе и дальнейшего повышения привилегий.
В ходе одного из расследований специалисты выявили, что неизвестные пытались войти в открытую базу Oracle под пользователем SYS. Ошибки с кодом 28009 указывали на наличие корректных учётных данных без роли SYSDBA, что подтверждало успешное получение расширенных прав. Доступ к серверу обеспечивался через вызов функции планировщика, что позволило удалённо запускать команды.
Далее через extjobo.exe был создан и исполнен PowerShell-скрипт в Base64-кодировке. Он собирал информацию о системе, вызывал WSMan для удалённых операций и скачивал дополнительные модули с управляющего узла по адресу 80.94.95.227. Эти файлы (например, tfod.cmd) сразу удалялись, чтобы затруднить анализ. Следы указывали на использование переработанного открытого кода с GitHub, предназначенного для эксплуатации Oracle Scheduler, с доработкой под TCP reverse shell.
После закрепления на сервере злоумышленники развернули Ngrok для туннелирования RDP-трафика наружу. Конфигурация с токеном авторизации сохранялась в ngrok.yml, а исполняемый файл размещался в «C:\Users\Public\ngrok.exe». Созданный локальный пользователь с именем «Admine» получил административные полномочия, после чего вход через туннель оказался успешным. В арсенале также использовалась утилита Process Hacker, переименованная в PT.exe, и техники манипуляции токенами для получения прав доменного администратора. Лог входа типа 3 зафиксировал доступ под учётной записью с максимальными полномочиями.
На следующем этапе в директории PerfLogs был размещён файл win.exe — будущий шифровальщик . Для его автоматического запуска злоумышленники оформили задачу Windows Update BETA, выполняемую от имени SYSTEM при старте ОС. При срабатывании зловред создавал лог mcv.dll, фиксирующий зашифрованные ресурсы. Файлы получали новый суффикс, а рядом появлялась записка с названием ElonsHelp.txt, где указывались адреса для переговоров.
После этого в реестре под веткой HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options была внесена правка, отключавшая автозапуск Ngrok, чтобы скрыть следы выхода наружу. Все вспомогательные компоненты — от ss.exe до ngr.bat — были уничтожены с задержкой через ping, а задачи планировщика удалены .
Инцидент показывает, насколько опасной становится комбинация легитимных функций Oracle Database и сторонних инструментов администрирования в руках атакующих. Чтобы снизить риски, компаниям рекомендуется ограничить сетевой доступ к управляющим портам Oracle и отключить External Jobs, если они не нужны.
Администраторов стоит перевести на многофакторную аутентификацию и отслеживать нетипичные подключения SYSDBA. На хостах нужно внедрять контроль запуска extjobo.exe, а также мониторить PowerShell и нестандартные задания планировщика. Отдельное внимание следует уделить запрету несанкционированных программ для туннелирования: Ngrok должен блокироваться или отслеживаться по конфигурациям. И, наконец, жизненно важно иметь актуальные резервные копии и сохранять целостность журналов, чтобы разбирать даже тщательно замаскированные атаки.