Breaking News

Trend Micro เตือนพบการโจมตี Oracle WebLogic ด้วยช่องโหว่ร้ายแรง รีบอัปเดตแพตช์

Trend Micro เตือนพบคนร้ายใช้ช่องโหว่ระดับร้ายแรงของ Oracle WebLogic หมายเลข CVE-2019-2725 หรือปัญหาด้าน Deserialization ที่นำไปสู่การทำ Remote Code Execution ได้ โดยท้ายสุดคนร้ายจะลอบติดตั้งตัวขุดเหมือง

Credit: ShutterStock.com

การโจมตีที่พบหลังจากใช้งานช่องโหว่ได้แล้วมีความซับซ้อนสูงมาก เนื่องจากคนร้ายได้แอบโค้ดอันตรายไว้ภายในไฟล์ Certificate โดยมีเทคนิคดังนี้

  • ใช้ PowerShell เพื่อดาวน์โหลดไฟล์ Certificate จากเซิร์ฟเวอร์ควบคุม จากนั้นใช้ CertUtil ทำการ Decode ไฟล์และ Execute ด้วย PowerShell อีกทีหนึ่ง พร้อมกันนี้ยังลบไฟล์ที่ดาวน์โหลดมาด้วย cmd 
  • Certificate ดูเหมือนจะเป็น PEM format ทั่วไปแต่ดันมาในรูปแบบของ PowerShell แทนที่ควรจะเป็น X.509 TLS format ซึ่งต้องมีการ Decode ไฟล์ถึง 2 ครั้งกว่าเผยคำสั่งออกมาก โดย Trend Micro กล่าวว่า “เป็นไปได้ว่า Certificate ที่เราดาวน์โหลดเข้ามาแตกต่างกับไฟล์ที่ตั้งใจโหลดจริงๆ จาก Remote Command ที่คนร้ายอาจจะปรับปรุงอยู่เรื่อยด้วย”
  • เมื่อ Execute คำสั่งใน Certificate และสคิร์ปต์ PowerShell ในหน่วยความจำได้แล้วจะมีการดาวน์โหลดไฟล์เพิ่มประกอบด้วย Sysupdate (ตัวขุดเหมือง), Config.json (ไฟล์ตั้งค่าตัวขุดเหมือง), Networkservice.exe (แพร่กระจายการโจมตีด้วยช่องโหว่บน WebLogic), Update.ps1 (สคิร์ปต์ PowerShell ในหน่วยความจำ), Sysguard.exe (ดูแลโปรเซสของตัวขุดเหมือง) และ Clean.bat (ลบส่วนประกอบอื่นได้) 
  • update.ps1 ที่มีไฟล์ Certificate ที่ใช้ Decode จะถูกแทนด้วย update.ps1 ตัวใหม่และมีการตั้ง Task schedule ให้ Execute สคิร์ปต์ PowerShell ตัวใหม่ทุก 30 นาทีด้วย

จะเห็นได้ว่าวิธีการหลบเลี่ยงของมัลแวร์ดูซับซ้อนวุ่นวายมากทีเดียวซึ่ง Trend Micro เองชี้ว่าพบได้ไม่บ่อยนักและอาจจะอยู่แค่ขั้นตอนพัฒนาเท่านั้นเนื่องจากไฟล์อันตรายอื่นที่ตามหลังมากจากการ Decode Certificate ไม่ได้มีการซ่อนใน Certificate แล้วเหมือนที่เคยทำก่อนหน้า อย่างไรก็ตามดีที่สุดคืออัปเดตแพตช์ WebLogic ของช่องโหว่ที่ออกมาตั้งแต่เมษายนแล้วนะครับ

ที่มา :  https://www.securityweek.com/critical-oracle-weblogic-vulnerability-exploited-attacks


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NetApp เปิดตัว Memory Accelerated FlexPod เสริม MAX Data และ Intel Optane DC Persistent Memory เร่งความเร็วให้สูงยิ่งขึ้น

NetApp ได้ออกมาประกาศเปิดตัวโซลูชันใหม่ล่าสุดสำหรับ Converged Infrastructure (CI) ภายใต้ชื่อ NetApp Memory Accelerated FlexPod ที่ได้ผสานนวัตกรรมใหม่อย่าง NetApp MAX Data และ Intel Optane DC Persistent Memory เพื่อเพิ่มประสิทธิภาพการทำงานของระบบโดยรวมให้สูงยิ่งขึ้น โดยมีจุดเด่นที่น่าสนใจดังนี้

Intel เปิดตัวอุปกรณ์เร่งการประมวลผล AI รุ่นใหม่ พร้อมชิปรับส่งข้อมูลเครือข่ายระดับ Tbps

ในงาน Hot Chips 2019 ทาง Intel ได้ออกมาประกาศเปิดตัวเทคโนโลยีใหม่ๆ สำหรับเร่งการประมวลผล AI และการรับส่งข้อมูลเครือข่ายที่ระดับความเร็วถึง Tbps ดังนี้