Trend Micro เตือนพบการโจมตี Oracle WebLogic ด้วยช่องโหว่ร้ายแรง รีบอัปเดตแพตช์

Trend Micro เตือนพบคนร้ายใช้ช่องโหว่ระดับร้ายแรงของ Oracle WebLogic หมายเลข CVE-2019-2725 หรือปัญหาด้าน Deserialization ที่นำไปสู่การทำ Remote Code Execution ได้ โดยท้ายสุดคนร้ายจะลอบติดตั้งตัวขุดเหมือง

Credit: ShutterStock.com

การโจมตีที่พบหลังจากใช้งานช่องโหว่ได้แล้วมีความซับซ้อนสูงมาก เนื่องจากคนร้ายได้แอบโค้ดอันตรายไว้ภายในไฟล์ Certificate โดยมีเทคนิคดังนี้

  • ใช้ PowerShell เพื่อดาวน์โหลดไฟล์ Certificate จากเซิร์ฟเวอร์ควบคุม จากนั้นใช้ CertUtil ทำการ Decode ไฟล์และ Execute ด้วย PowerShell อีกทีหนึ่ง พร้อมกันนี้ยังลบไฟล์ที่ดาวน์โหลดมาด้วย cmd 
  • Certificate ดูเหมือนจะเป็น PEM format ทั่วไปแต่ดันมาในรูปแบบของ PowerShell แทนที่ควรจะเป็น X.509 TLS format ซึ่งต้องมีการ Decode ไฟล์ถึง 2 ครั้งกว่าเผยคำสั่งออกมาก โดย Trend Micro กล่าวว่า “เป็นไปได้ว่า Certificate ที่เราดาวน์โหลดเข้ามาแตกต่างกับไฟล์ที่ตั้งใจโหลดจริงๆ จาก Remote Command ที่คนร้ายอาจจะปรับปรุงอยู่เรื่อยด้วย”
  • เมื่อ Execute คำสั่งใน Certificate และสคิร์ปต์ PowerShell ในหน่วยความจำได้แล้วจะมีการดาวน์โหลดไฟล์เพิ่มประกอบด้วย Sysupdate (ตัวขุดเหมือง), Config.json (ไฟล์ตั้งค่าตัวขุดเหมือง), Networkservice.exe (แพร่กระจายการโจมตีด้วยช่องโหว่บน WebLogic), Update.ps1 (สคิร์ปต์ PowerShell ในหน่วยความจำ), Sysguard.exe (ดูแลโปรเซสของตัวขุดเหมือง) และ Clean.bat (ลบส่วนประกอบอื่นได้) 
  • update.ps1 ที่มีไฟล์ Certificate ที่ใช้ Decode จะถูกแทนด้วย update.ps1 ตัวใหม่และมีการตั้ง Task schedule ให้ Execute สคิร์ปต์ PowerShell ตัวใหม่ทุก 30 นาทีด้วย

จะเห็นได้ว่าวิธีการหลบเลี่ยงของมัลแวร์ดูซับซ้อนวุ่นวายมากทีเดียวซึ่ง Trend Micro เองชี้ว่าพบได้ไม่บ่อยนักและอาจจะอยู่แค่ขั้นตอนพัฒนาเท่านั้นเนื่องจากไฟล์อันตรายอื่นที่ตามหลังมากจากการ Decode Certificate ไม่ได้มีการซ่อนใน Certificate แล้วเหมือนที่เคยทำก่อนหน้า อย่างไรก็ตามดีที่สุดคืออัปเดตแพตช์ WebLogic ของช่องโหว่ที่ออกมาตั้งแต่เมษายนแล้วนะครับ

ที่มา :  https://www.securityweek.com/critical-oracle-weblogic-vulnerability-exploited-attacks



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Check Point เผยแนวโน้มการโจมตีทางไซเบอร์ในปี 2020

เมื่อวันพุธที่ผ่านมานี้เราได้มีโอกาสเข้าร่วมการแถลงข่าวของ Check Point ผู้เชี่ยวชาญในโซลูชันด้านความมั่นคงปลอดภัยซึ่งได้มาเล่าถึงแนวโน้มด้านการโจมตีในปี 2020 เราจึงขอสรุปมาให้ติดตามกันครับ

Intel แพตช์ช่องโหว่ 6 รายการ แนะผู้ใช้อัปเดต

Intel ได้ประกาศออกแพตช์ช่องโหว่ของเดือนมกราคมจำนวน 6 รายการ ซึ่งส่งผลกระทบกับ VTune และ Intel Processor Graphics Driver สำหรับ Windows และ Linux …