Entrada por la base de datos y salida por un túnel: la fórmula del cibercrimen perfecto

Los atacantes encontraron una forma de usar el planificador de Oracle Database para penetrar en redes corporativas. La vulnerabilidad radica en el mecanismo External Jobs, ejecutado mediante la utilidad extjobo.exe. Esta función permite ejecutar comandos en nombre del servicio del planificador, y es precisamente la que los atacantes usan para afianzarse en el sistema y posteriormente escalar privilegios.

Durante una de las investigaciones, los especialistas detectaron que desconocidos intentaron acceder a una base Oracle abierta con el usuario SYS. Los errores con el código 28009 indicaban la existencia de credenciales válidas sin el rol SYSDBA, lo que confirmaba la obtención de privilegios elevados. El acceso al servidor se lograba mediante la invocación de la función del planificador, lo que permitió ejecutar comandos de forma remota.

A continuación, a través de extjobo.exe se creó y ejecutó un script de PowerShell en codificación Base64. Recolectaba información del sistema, invocaba WSMan para operaciones remotas y descargaba módulos adicionales desde un nodo de control en la dirección 80.94.95.227. Esos archivos (por ejemplo, tfod.cmd) se eliminaban de inmediato para dificultar el análisis. Las huellas apuntaban al uso de código abierto reutilizado de GitHub, destinado a explotar el Oracle Scheduler, con modificaciones para un reverse shell TCP.

Tras afianzarse en el servidor, los atacantes desplegaron Ngrok para tunelizar el tráfico RDP hacia el exterior. La configuración con el token de autorización se guardaba en ngrok.yml, y el ejecutable se ubicaba en «C:\Users\Public\ngrok.exe». El usuario local creado, denominado «Admine», obtuvo privilegios administrativos, tras lo cual el acceso mediante el túnel resultó exitoso. En su arsenal también se empleó la herramienta Process Hacker, renombrada como PT[.]exe, y técnicas de manipulación de tokens para alcanzar permisos de administrador de dominio. Un registro de inicio de sesión de tipo 3 registró el acceso con una cuenta con privilegios máximos.

En la etapa siguiente se colocó en el directorio PerfLogs el archivo win.exe —el futuro cifrador—. Para su ejecución automática, los atacantes programaron una tarea denominada Windows Update BETA, ejecutada en nombre de SYSTEM al inicio del sistema operativo. Al activarse, el malware creaba un registro mcv.dll que documentaba los recursos cifrados. Los archivos recibían un nuevo sufijo y aparecía una nota llamada ElonsHelp.txt con direcciones para negociar.

Después de esto, en el registro bajo la rama HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options se realizó una modificación que deshabilitaba el autoarranque de Ngrok para ocultar las huellas de salida al exterior. Todos los componentes auxiliares —desde ss.exe hasta ngr.bat— fueron eliminados con retraso mediante ping, y las tareas del planificador fueron borradas.

El incidente demuestra cuán peligrosa puede ser la combinación de funciones legítimas de Oracle Database y herramientas administrativas de terceros en manos de atacantes. Para reducir los riesgos, se recomienda a las empresas limitar el acceso de red a los puertos de administración de Oracle y desactivar External Jobs si no son necesarios.

Se aconseja que los administradores adopten la autenticación multifactor y supervisen las conexiones atípicas de SYSDBA. En los hosts debe implementarse control del lanzamiento de extjobo.exe, así como el monitoreo de PowerShell y de tareas no estándar del planificador. Debe prestarse especial atención a prohibir programas de tunelización no autorizados: Ngrok debe bloquearse o supervisarse por sus configuraciones. Y, por último, es vital disponer de copias de seguridad actualizadas y preservar la integridad de los registros para poder analizar incluso ataques meticulosamente encubiertos.