臭名昭著的 APT 组织 ToddyCat 使用复杂的攻击策略,通过利用 ESET 命令行扫描程序中的弱点,在目标系统中秘密部署恶意代码。
该漏洞现已被编号为 CVE-2024-11859,攻击者借助此漏洞,在受信任的安全解决方案环境内执行恶意负载,从而绕过安全监控工具。
2024 年初,调查人员在多个受感染设备的临时目录中发现了名为 “version.dll” 的可疑文件。
进一步分析表明,这些文件是一款名为 TCESB 的复杂工具的组成部分,专门用于绕过防护机制和监控工具。
此前,ToddyCat 的攻击手段中并未出现过这款工具。它利用了 ESET 命令行扫描器(ecls)在加载动态链接库(DLL)文件时存在的不安全漏洞。
ESET 将该漏洞登记为 CVE-2024-11859,并于 2025 年 1 月 21 日发布了补丁,同时在 4 月 4 日发布了安全公告。
攻击链的技术分析
卡巴斯基报告称,攻击者运用了一种名为 DLL 代理(在 MITRE ATT&CK 框架中分类为 T1574)的技术来执行其恶意代码。
TCESB 工具旨在导出合法 version.dll 文件的所有功能,但在后台运行恶意作时将调用重定向到原始 DLL。
该漏洞利用了 ESET 命令行扫描程序的不安全加载机制,该机制在查找系统目录之前在当前目录中搜索 version.dll 文件。
此漏洞允许加载恶意 DLL 而不是合法 DLL。
分析显示,TCESB 基于开源工具 EDRSandBlast 进行了修改,以扩展其功能。
该恶意软件能够修改 Windows 内核结构,从而禁用诸如进程创建等关键系统事件的通知程序。
增强隐身能力
为增强其隐身能力,TCESB 采用了自带易受攻击驱动程序(BYOVD)技术(T1211),特别是使用存在 CVE-2021-36276 漏洞的 Dell DBUtilDrv2.sys 驱动程序。这使得攻击者能够在内核层面执行特权操作。
有效负载执行机制
该工具实施了一套复杂的有效负载执行系统,每两秒检查一次当前目录中是否存在名为 “kesp” 或 “ecore” 的特定文件。
一旦检测到这些文件,就会使用 AES-128 加密算法对其进行解密,解密密钥存储在有效负载文件的前 32 字节中。
这种多阶段的攻击方式体现了 ToddyCat 成熟的运营安全策略。他们构建了一个系统,只有在确认初始渗透成功后,才会部署有效负载。
安全专家建议对涉及已知漏洞驱动程序的安装事件进行系统监控。
像 loldrivers 项目这样的资源有助于识别此类驱动程序。此外,各组织应监控 Windows 内核调试符号加载事件,特别是在那些预计不会进行内核调试的设备上。
这一事件凸显了高级威胁行为者不断演变的攻击策略,他们持续寻找新方法来利用受信任的软件,甚至是安全解决方案本身,以持续且隐蔽地访问目标系统。
发表评论
您还未登录,请先登录。
登录