HackerNews 编译,转载请注明出处:
臭名昭著的高级持续性威胁(APT)组织ToddyCat近期采用了一种复杂的攻击策略,通过利用ESET命令行扫描器中的安全漏洞,将恶意代码悄无声息地植入目标系统。
该漏洞现已编号为CVE-2024-11859。攻击者借此得以在受信任的安全软件环境中执行恶意负载,从而绕过安全监测工具的检测。
2024年初,调查人员在多台被入侵设备的临时目录中发现名为“version.dll”的可疑文件。进一步分析确认,这些文件是一个名为TCESB的复杂攻击工具的组成部分,专为规避安全机制与监控系统而开发。
这一工具此前未在ToddyCat的武器库中出现过,其主要利用了ESET命令行扫描器(ecls)在加载DLL文件时的安全缺陷。ESET已将该问题注册为CVE-2024-11859,并于2025年1月21日发布补丁,随后于4月4日发布安全公告。
漏洞利用链的技术分析
卡巴斯基的报告指出,攻击者使用了MITRE ATT&CK框架中T1574类别的技术——DLL代理(DLL Proxying),借此执行恶意代码。TCESB工具导出所有合法version.dll文件的函数接口,但在后台重定向调用至原始DLL的同时执行恶意操作。
该漏洞利用了ESET命令行扫描器的不安全加载机制:该程序在查找version.dll时会优先搜索当前目录,再搜索系统目录。因此,攻击者可以将恶意DLL文件伪装为version.dll,从而被程序优先加载。
分析还显示,TCESB基于开源工具EDRSandBlast修改而来,在其功能上进行了拓展。恶意程序可修改Windows内核结构,禁用关键系统事件(如进程创建)的通知机制。
为了进一步提升隐蔽性,TCESB还采用了“自带易受攻击驱动程序”(BYOVD,T1211)的方式,使用存在CVE-2021-36276漏洞的Dell驱动程序DBUtilDrv2.sys,在内核层执行高权限操作。
负载执行机制
该工具实现了一个复杂的负载执行系统,每隔两秒检查当前目录中是否存在名为“kesp”或“ecore”的特定文件。一旦发现,便使用AES-128加密算法进行解密,解密密钥则存储在载荷文件的前32字节内。
这一多阶段执行机制展现了ToddyCat在作战安全性方面的高度专业性。攻击者确保仅在渗透成功后才部署真正的负载,有效提升了攻击的隐蔽性和持久性。
安全专家建议:应重点监控系统中涉及使用已知漏洞驱动程序的安装行为。资源平台如loldrivers项目可用于识别这类驱动。同时,还应监测Windows系统中内核调试符号加载事件,尤其是在无需进行内核调试的设备上。
这一事件再次凸显出高级威胁行为者战术的不断演进:他们甚至能够利用受信任的安全软件,长期、隐蔽地控制目标系统。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
