近期安全研究人员(Yarix 分析师主导)监测到针对 Oracle 数据库调度器 “外部作业” 功能的攻击激增,威胁行为者通过滥用该合法功能,在基于 Windows 的数据库服务器上执行任意命令,绕过企业边界防御与网络分段策略,实现对企业环境的深度入侵。此类攻击已导致多起 “数据库服务器被突破→内网横向渗透→部署勒索软件” 的连锁安全事件,凸显 Oracle 数据库安全管控的核心漏洞。
- 入口探测:攻击者扫描互联网暴露的 Oracle 监听端口(默认 1521 端口),识别未做网络隔离的数据库服务器;
- 凭据获取:通过两种方式获取权限:
- 利用配置错误:尝试默认管理员账户(如
SYS/SYSTEM)、弱密码或未及时修改的初始凭据;
- 暴力破解:事件日志显示 “多次登录失败后出现 SYSDBA 成功连接”,证明存在凭据暴力破解行为;
- 核心突破:以 SYSDBA 身份连接数据库后,获得调用 “外部作业” 功能的权限,为后续命令执行铺路。
- 组件调用逻辑:Oracle 数据库调度器的 “外部作业” 功能本用于管理员执行系统维护命令,攻击者借此调用
extjobo.exe,以OracleJobScheduler 服务权限运行恶意命令,调用格式如下:
extjobo.exe -noservice -exec C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -EncodedCommand JABjAD0AbgBl…
- 关键规避手段:
- 绕过脚本执行策略:通过
-ep Bypass参数关闭 PowerShell 脚本执行限制;
- Base64 编码注入:将恶意 PowerShell 脚本编码后直接传入内存,不落地磁盘,规避文件级检测。
攻击者通过编码后的 PowerShell 脚本收集目标服务器信息,为后续攻击(如部署勒索软件、横向移动)做准备,解码后的核心侦察命令如下:
$cpu = Get-CimInstance -ClassName Win32_Processor
$ram = Get-CimInstance -ClassName Win32_ComputerSystem
Write-Host $cpu.Name, $cpu.NumberOfLogicalProcessors, [math]::Round($ram.TotalPhysicalMemory/1GB,2)
Get-PSDrive -PSProvider FileSystem
Get-WmiObject -Class Win32_OperatingSystem | Select-String 'OS Name'
Get-ItemProperty -Path HKLM:\Server-Tcp -Name PortNumber
该过程无任何自定义恶意文件写入磁盘,完全依赖 Windows 原生工具(Get-CimInstance/Get-WmiObject),常规端点防御难以识别。
- 建立持久控制:创建名为 “Admine” 的本地管理员账户,通过该账户实现长期登录;
- C2 通信:建立加密隧道连接外部 C2 服务器,下载次级有效载荷(如勒索软件、后门);
- 痕迹清理:删除临时批处理文件、计划任务及攻击日志,阻碍事后法医分析;
- 横向移动:利用数据库服务器的高权限,通过 SMB/RDP 协议渗透企业内网其他主机,扩大攻击范围。
- “信任滥用” 突破网络分段:企业虽对网络进行分段隔离数据库服务器,但因默认信任 “Oracle 数据库调度程序进程”,导致攻击者借合法功能绕过边界防御;
- “无文件攻击” 规避检测:全程依赖
extjobo.exe与原生 PowerShell,无自定义恶意文件落地,规避基于 “文件特征码” 的传统检测;
- “高权限执行” 扩大危害:
extjobo.exe以 OracleJobScheduler 服务权限运行,等同于系统高权限,可直接执行账户创建、隧道建立等关键操作。
某制造业企业因未管控 Oracle 数据库调度器权限,遭遇完整攻击链入侵,具体过程如下:
- 攻击者扫描到该企业暴露的 Oracle 1521 端口,通过暴力破解获取 SYSDBA 账户凭据;
- 调用
extjobo.exe执行编码 PowerShell 脚本,收集服务器硬件与系统信息(确认存在大量生产数据);
- 从 C2 服务器下载勒索软件,以 “数据库维护” 名义加密生产数据文件(如 ERP 系统数据库);
- 创建 “Admine” 本地账户,删除攻击日志后,留下勒索字条要求以门罗币支付赎金;
- 企业因未及时检测,导致生产系统瘫痪 3 天,最终支付 12 万美元赎金恢复数据。
-
限制数据库外部访问:
- 立即关闭互联网暴露的 Oracle 监听端口(1521),通过 VPN 或内网专线访问数据库;
- 排查默认账户与弱密码:修改
SYS/SYSTEM等管理员账户密码,禁用长期未使用的数据库账户。
-
管控 “外部作业” 功能权限:
- 回收非必要账户的 “调度器权限”,仅允许数据库管理员(DBA)使用 “外部作业” 功能;
- 禁用
extjobo.exe组件(若业务无需):删除extjobo.exe执行权限,或通过组策略限制其调用。
-
紧急日志审计:
- 检查 Oracle 数据库日志,筛选 “SYSDBA 成功连接”“extjobo.exe 调用” 相关记录,确认是否存在异常;
- 查看 Windows 安全日志,排查 “本地管理员账户创建”(如 “Admine”)、“异常 PowerShell 编码执行” 事件。
-
权限最小化配置:
- 为 OracleJobScheduler 服务配置低权限账户(避免使用 Local System 权限),限制其对系统文件、注册表的访问;
- 启用 Oracle 数据库的 “细粒度权限控制”,禁止普通账户调用 “外部作业” 相关存储过程。
-
部署针对性检测规则:
- 监控
extjobo.exe进程行为:若出现 “调用 PowerShell+Base64 编码参数”,立即触发告警;
- 监测命名管道活动:Oracle 调度器使用的命名管道(如
ORACLEDBS相关管道)若存在非预期访问,及时阻断;
- 检测异常 PowerShell:监控 “
-EncodedCommand参数 + 无文件执行” 的 PowerShell 进程,关联数据库服务器上下文。
-
加强数据库安全加固:
- 启用 Oracle 数据库审计功能,记录 “外部作业调用”“SYSDBA 登录” 等关键操作,日志留存至少 90 天;
- 定期扫描数据库配置漏洞(如默认凭据、过度权限),使用 Oracle 官方工具(如 Oracle Database Security Assessment Tool)进行安全评估。
-
员工安全培训:
- 对数据库管理员(DBA)开展专项培训,强调 “外部作业” 功能的安全风险,禁止随意授予相关权限;
- 培养 IT 团队对 “无文件攻击” 的识别能力,熟悉
extjobo.exe、编码 PowerShell 等攻击特征。
红客联盟 AI 警示:此次攻击事件表明,企业 “重边界防御、轻数据库管控” 的安全策略已难以应对新型攻击。建议企业立即开展 Oracle 数据库安全专项排查,重点管控 “外部作业” 功能权限与extjobo.exe组件,同时部署针对 “数据库层攻击” 的检测规则,避免因 “合法功能滥用” 导致内网突破与数据损失。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 23 日)
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
