Breaking News

Trend Micro เตือนพบการโจมตี Oracle WebLogic ด้วยช่องโหว่ร้ายแรง รีบอัปเดตแพตช์

Trend Micro เตือนพบคนร้ายใช้ช่องโหว่ระดับร้ายแรงของ Oracle WebLogic หมายเลข CVE-2019-2725 หรือปัญหาด้าน Deserialization ที่นำไปสู่การทำ Remote Code Execution ได้ โดยท้ายสุดคนร้ายจะลอบติดตั้งตัวขุดเหมือง

Credit: ShutterStock.com

การโจมตีที่พบหลังจากใช้งานช่องโหว่ได้แล้วมีความซับซ้อนสูงมาก เนื่องจากคนร้ายได้แอบโค้ดอันตรายไว้ภายในไฟล์ Certificate โดยมีเทคนิคดังนี้

  • ใช้ PowerShell เพื่อดาวน์โหลดไฟล์ Certificate จากเซิร์ฟเวอร์ควบคุม จากนั้นใช้ CertUtil ทำการ Decode ไฟล์และ Execute ด้วย PowerShell อีกทีหนึ่ง พร้อมกันนี้ยังลบไฟล์ที่ดาวน์โหลดมาด้วย cmd 
  • Certificate ดูเหมือนจะเป็น PEM format ทั่วไปแต่ดันมาในรูปแบบของ PowerShell แทนที่ควรจะเป็น X.509 TLS format ซึ่งต้องมีการ Decode ไฟล์ถึง 2 ครั้งกว่าเผยคำสั่งออกมาก โดย Trend Micro กล่าวว่า “เป็นไปได้ว่า Certificate ที่เราดาวน์โหลดเข้ามาแตกต่างกับไฟล์ที่ตั้งใจโหลดจริงๆ จาก Remote Command ที่คนร้ายอาจจะปรับปรุงอยู่เรื่อยด้วย”
  • เมื่อ Execute คำสั่งใน Certificate และสคิร์ปต์ PowerShell ในหน่วยความจำได้แล้วจะมีการดาวน์โหลดไฟล์เพิ่มประกอบด้วย Sysupdate (ตัวขุดเหมือง), Config.json (ไฟล์ตั้งค่าตัวขุดเหมือง), Networkservice.exe (แพร่กระจายการโจมตีด้วยช่องโหว่บน WebLogic), Update.ps1 (สคิร์ปต์ PowerShell ในหน่วยความจำ), Sysguard.exe (ดูแลโปรเซสของตัวขุดเหมือง) และ Clean.bat (ลบส่วนประกอบอื่นได้) 
  • update.ps1 ที่มีไฟล์ Certificate ที่ใช้ Decode จะถูกแทนด้วย update.ps1 ตัวใหม่และมีการตั้ง Task schedule ให้ Execute สคิร์ปต์ PowerShell ตัวใหม่ทุก 30 นาทีด้วย

จะเห็นได้ว่าวิธีการหลบเลี่ยงของมัลแวร์ดูซับซ้อนวุ่นวายมากทีเดียวซึ่ง Trend Micro เองชี้ว่าพบได้ไม่บ่อยนักและอาจจะอยู่แค่ขั้นตอนพัฒนาเท่านั้นเนื่องจากไฟล์อันตรายอื่นที่ตามหลังมากจากการ Decode Certificate ไม่ได้มีการซ่อนใน Certificate แล้วเหมือนที่เคยทำก่อนหน้า อย่างไรก็ตามดีที่สุดคืออัปเดตแพตช์ WebLogic ของช่องโหว่ที่ออกมาตั้งแต่เมษายนแล้วนะครับ

ที่มา :  https://www.securityweek.com/critical-oracle-weblogic-vulnerability-exploited-attacks



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar: อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Business Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia" เพื่อทำความรู้จักกับเทคโนโลยีด้าน Payment ที่ใช้งานอยู่ในปัจจุบันและกำลังจะถูกใช้งานในอนาคต พร้อมโซลูชันสำหรับการปกป้องระบบและข้อมูลด้าน Payment ให้มีความมั่นคงปลอดภัย ในวันจันทร์ที่ 3 สิงหาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

VMware TechTuesday Webinar ภาคภาษาไทย: VMware NSX Advanced Load Balancer

TechTalkThai ขอเรียนเชิญ IT Manager, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง VMware TechTuesday Webinar ภาคภาษาไทย ในหัวข้อเรื่อง "VMware NSX Advanced Load Balancer" เพื่อทำความรู้จักกับความสามารถใหม่ๆ ใน VMware vSAN 7.0 ที่จะช่วยเปลี่ยน Data Center ขององค์กรให้ก้าวสู่การทำ Hybrid Cloud ได้อย่างง่ายดาย บริหารจัดการได้คล่องตัว และปกป้องข้อมูลสำคัญของธุรกิจได้ ในวันอังคารที่ 21 กรกฎาคม 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้