Вход через базу данных, выход через туннель — формула идеального киберпреступления

leer en español

Elons Proxima Black Shadow Oracle Database Scheduler Ngrok PowerShell RDP Process Hacker
Вход через базу данных, выход через туннель — формула идеального киберпреступления
Elons Proxima Black Shadow Oracle Database Scheduler Ngrok PowerShell RDP Process Hacker

Специалисты раскрыли цепочку событий, ведущую от уязвимости к полному контролю.

image

Злоумышленники нашли способ использовать планировщик Oracle Database для проникновения в корпоративные сети. Уязвимость кроется в механизме External Jobs, запускаемом через утилиту extjobo.exe. Эта функция позволяет выполнять команды от имени службы планировщика, и именно её атакующие применяют для закрепления в системе и дальнейшего повышения привилегий.

В ходе одного из расследований специалисты выявили, что неизвестные пытались войти в открытую базу Oracle под пользователем SYS. Ошибки с кодом 28009 указывали на наличие корректных учётных данных без роли SYSDBA, что подтверждало успешное получение расширенных прав. Доступ к серверу обеспечивался через вызов функции планировщика, что позволило удалённо запускать команды.

Далее через extjobo.exe был создан и исполнен PowerShell-скрипт в Base64-кодировке. Он собирал информацию о системе, вызывал WSMan для удалённых операций и скачивал дополнительные модули с управляющего узла по адресу 80.94.95.227. Эти файлы (например, tfod.cmd) сразу удалялись, чтобы затруднить анализ. Следы указывали на использование переработанного открытого кода с GitHub, предназначенного для эксплуатации Oracle Scheduler, с доработкой под TCP reverse shell.

После закрепления на сервере злоумышленники развернули Ngrok для туннелирования RDP-трафика наружу. Конфигурация с токеном авторизации сохранялась в ngrok.yml, а исполняемый файл размещался в «C:\Users\Public\ngrok.exe». Созданный локальный пользователь с именем «Admine» получил административные полномочия, после чего вход через туннель оказался успешным. В арсенале также использовалась утилита Process Hacker, переименованная в PT.exe, и техники манипуляции токенами для получения прав доменного администратора. Лог входа типа 3 зафиксировал доступ под учётной записью с максимальными полномочиями.

На следующем этапе в директории PerfLogs был размещён файл win.exe — будущий шифровальщик. Для его автоматического запуска злоумышленники оформили задачу Windows Update BETA, выполняемую от имени SYSTEM при старте ОС. При срабатывании зловред создавал лог mcv.dll, фиксирующий зашифрованные ресурсы. Файлы получали новый суффикс, а рядом появлялась записка с названием ElonsHelp.txt, где указывались адреса для переговоров.

После этого в реестре под веткой HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options была внесена правка, отключавшая автозапуск Ngrok, чтобы скрыть следы выхода наружу. Все вспомогательные компоненты — от ss.exe до ngr.bat — были уничтожены с задержкой через ping, а задачи планировщика удалены.

Инцидент показывает, насколько опасной становится комбинация легитимных функций Oracle Database и сторонних инструментов администрирования в руках атакующих. Чтобы снизить риски, компаниям рекомендуется ограничить сетевой доступ к управляющим портам Oracle и отключить External Jobs, если они не нужны.

Администраторов стоит перевести на многофакторную аутентификацию и отслеживать нетипичные подключения SYSDBA. На хостах нужно внедрять контроль запуска extjobo.exe, а также мониторить PowerShell и нестандартные задания планировщика. Отдельное внимание следует уделить запрету несанкционированных программ для туннелирования: Ngrok должен блокироваться или отслеживаться по конфигурациям. И, наконец, жизненно важно иметь актуальные резервные копии и сохранять целостность журналов, чтобы разбирать даже тщательно замаскированные атаки.