駭客利用合法Oracle資料庫功能 繞過資安防護植入勒索軟體

記者孫敬／編譯

最近幾週，資安研究人員觀察到，駭客利用Oracle資料庫排程（Oracle Database Scheduler）中的「外部工作」（External Jobs）功能，在Windows伺服器上執行任意指令，成功繞過企業的周邊防禦系統。

延伸閱讀：Chrome V8引擎爆零時差漏洞 駭客藉惡意軟體鎖定加密錢包

駭客藉信任的盲點繞過防禦發動內部攻擊

駭客的初始入侵點通常是掃描對外開放的Oracle監聽埠，並利用配置不當的憑證或預設的管理帳戶來取得連線權限。一旦成功連線，他們就能調用extjobo.exe元件，以與 OracleJobScheduler 服務相同的權限來執行指令。

即使是那些已將網路進行區隔並隔離資料庫伺服器的企業，也因為資料庫排程本身被視為可信任的程序而受到攻擊。在一個案例中，駭客甚至建立加密通道，部署勒索軟體，並偽裝成例行的資料庫維護操作，成功在企業內部發動攻擊。

駭客針對Oracle的無檔案攻擊手法曝光

資安公司Yarix的分析師指出，在取得登入憑證後，駭客會利用Oracle資料庫排程的外部工作功能，來生成編碼過的PowerShell腳本。這種「無檔案攻擊」（living-off-the-land）的手法，能有效避免在磁碟上留下可疑的執行檔。

駭客會將Base64編碼的腳本直接通過extjobo.exe導向PowerShell執行，進一步增加了偵測的難度。舉例來說，在一次攻擊中，駭客執行了一段指令，在下載主要惡意酬載之前，先收集了系統資訊。

Oracle 資料庫排程的外部工作功能，最初是用來讓資料庫管理員執行系統維護任務。然而，駭客們發現，任何擁有排程權限的使用者，都可以連線到extjobo.exe所使用的具名管道（named pipe），並注入惡意指令。透過濫用這項合法的排程功能，駭客們成功避免在磁碟上寫入任何可執行的惡意檔案，並依賴Windows原生工具進行偵察、酬載部署與通道建立。

資安專家建議，企業應嚴格限制排程權限的存取控制，並持續監控具名管道的活動，同時針對Oracle資料庫環境中任何異常的extjobo.exe調用進行偵測與警示。

資料來源：Cyber Security News