TCESB தீம்பொருள்

ஆசியா முழுவதும் சைபர் தாக்குதல்களுக்கு பெயர் பெற்ற சீனாவுடன் தொடர்புடைய ஒரு அச்சுறுத்தல் நபர், ESET பாதுகாப்பு மென்பொருளில் உள்ள ஒரு பாதிப்பைப் பயன்படுத்தி, முன்னர் ஆவணப்படுத்தப்படாத TCESB என்ற குறியீட்டுப் பெயரிடப்பட்ட தீம்பொருளை வழங்குவது கண்டறியப்பட்டுள்ளது. புதிதாகக் கண்டுபிடிக்கப்பட்ட இந்த தீம்பொருள், பாதுகாப்பு நடவடிக்கைகளைத் தவிர்த்து, பேலோடுகளை கண்டறியப்படாமல் செயல்படுத்த வடிவமைக்கப்பட்டுள்ளது.

டாடிகேட்: ஆசியாவில் ஒரு தொடர்ச்சியான அச்சுறுத்தல்

மேம்பட்ட அச்சுறுத்தல் குழுவான டாடிகேட், குறைந்தது டிசம்பர் 2020 முதல் ஆசியாவில் பல நிறுவனங்களை குறிவைத்து செயல்பட்டு வருகிறது. அவர்களின் செயல்பாடுகள் குறித்த சமீபத்திய விசாரணைகள், சமரசம் செய்யப்பட்ட அமைப்புகளுக்கான தொடர்ச்சியான அணுகலைப் பராமரிக்கவும், ஆசிய-பசிபிக் பிராந்தியத்தில் உள்ள நிறுவனங்களிலிருந்து அதிக அளவிலான தரவுகளைச் சேகரிக்கவும் பல்வேறு கருவிகளைப் பயன்படுத்துவதை வெளிப்படுத்தின.

குறைபாட்டைப் பயன்படுத்திக் கொள்வது: DLL ஹைஜாக்கிங் நுட்பம்

2024 ஆம் ஆண்டின் தொடக்கத்தில் ToddyCat தொடர்பான சம்பவங்களை விசாரித்த பாதுகாப்பு ஆராய்ச்சியாளர்கள், பல சமரசம் செய்யப்பட்ட சாதனங்களின் தற்காலிக கோப்பகத்தில் 'version.dll' என்ற சந்தேகத்திற்கிடமான DLL கோப்பைக் கண்டுபிடித்தனர். TCESB என அடையாளம் காணப்பட்ட இந்தக் கோப்பு, DLL தேடல் ஆர்டர் ஹைஜாக்கிங்கைப் பயன்படுத்தி பயன்படுத்தப்பட்டது, இது தாக்குதல் நடத்துபவர்கள் முறையான DLL கோப்புகளை மாற்றுவதன் மூலம் நிரல் செயல்பாட்டைக் கட்டுப்படுத்த அனுமதிக்கிறது.

இந்தத் தாக்குதல் ESET இன் கட்டளை வரி ஸ்கேனரில் உள்ள ஒரு குறைபாட்டைப் பயன்படுத்துகிறது, இது 'version.dll' கோப்பை பாதுகாப்பற்ற முறையில் ஏற்றுகிறது. கணினி கோப்பகங்களிலிருந்து முறையான பதிப்பை ஏற்றுவதற்குப் பதிலாக, அது முதலில் தற்போதைய கோப்பகத்தைச் சரிபார்க்கிறது, தாக்குபவர்களுக்கு அவர்களின் சொந்த தீங்கிழைக்கும் DLL ஐ அறிமுகப்படுத்த வாய்ப்பளிக்கிறது.

CVE-2024-11859: சுரண்டப்பட்ட பாதிப்பு

CVE-2024-11859 (CVSS மதிப்பெண்: 6.8) என கண்காணிக்கப்படும் இந்த பாதிப்பு, நிர்வாகி சலுகைகள் கொண்ட தாக்குபவர்களுக்கு பாதுகாப்பற்ற குறியீட்டை இயக்க அனுமதித்தது. இருப்பினும், அந்தக் குறைபாடே உயர்ந்த சலுகைகளை வழங்கவில்லை - தாக்குபவர்களுக்கு ஏற்கனவே அதைப் பயன்படுத்த நிர்வாக அணுகல் தேவைப்பட்டது. ESET ஜனவரி 2025 இல் பாதிப்பை சரிசெய்து, விண்டோஸில் அதன் நுகர்வோர், வணிகம் மற்றும் சர்வர் பாதுகாப்பு தயாரிப்புகளுக்கான புதுப்பிப்புகளை வெளியிட்டது.

EDRSandBlast ஐ ஆயுதமாக்குதல்: TCESB பாதுகாப்புப் பாதுகாப்புகளை எவ்வாறு முடக்குகிறது

TCESB என்பது திறந்த மூல கருவியான EDRSandBlast இன் மாற்றியமைக்கப்பட்ட பதிப்பாகும். இது அறிவிப்பு நடைமுறைகள் (கால்பேக்குகள்) போன்ற பாதுகாப்பு வழிமுறைகளை முடக்க கர்னல் கட்டமைப்புகளை கையாளுகிறது, இவை செயல்முறை உருவாக்கம் அல்லது பதிவேட்டில் மாற்றங்கள் போன்ற முக்கியமான நிகழ்வுகளைப் பற்றி கணினி இயக்கிகளை எச்சரிக்கும் முக்கிய செயல்பாடுகளாகும்.

இதை அடைய, TCESB நன்கு அறியப்பட்ட Bring Your Own Vulnerable Driver (BYOVD) நுட்பத்தைப் பயன்படுத்துகிறது, சாதன மேலாளர் இடைமுகம் வழியாக பாதிக்கப்படக்கூடிய டெல் இயக்கியை (DBUtilDrv2.sys) நிறுவுகிறது. இந்த இயக்கி CVE-2021-36276 ஆல் பாதிக்கப்படுகிறது, இது ஒரு சலுகை அதிகரிப்பு பாதிப்பு.

டெல் டிரைவர்கள்: ஒரு தொடர்ச்சியான பலவீனமான இணைப்பு

சைபர் தாக்குதல்களில் டெல் ஓட்டுநர்கள் துஷ்பிரயோகம் செய்யப்படுவது இது முதல் முறை அல்ல. 2022 ஆம் ஆண்டில், வட கொரியாவுடன் தொடர்புடைய லாசரஸ் குழுமம் பாதுகாப்பு வழிமுறைகளை முடக்க மற்றொரு டெல் ஓட்டுநர் பாதிப்பை (CVE-2021-21551) சுரண்டியது. பாதுகாப்பு நடவடிக்கைகளைத் தவிர்ப்பதற்காக தாக்குபவர்கள் காலாவதியான அல்லது பாதிக்கப்படக்கூடிய ஓட்டுநர்களைப் பயன்படுத்துவதைத் தொடர்கின்றனர்.

TCESB-யின் செயல்படுத்தல் உத்தி

பாதிக்கப்படக்கூடிய இயக்கி நிறுவப்பட்டதும், தற்போதைய கோப்பகத்தில் ஒரு குறிப்பிட்ட பெயருடன் ஒரு பேலோட் கோப்பை TCESB ஒவ்வொரு இரண்டு வினாடிகளுக்கும் தொடர்ந்து சரிபார்க்கிறது. பேலோட் ஆரம்பத்தில் இல்லை என்றால், அது தோன்றும் வரை TCESB காத்திருக்கும். AES-128 ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்பட்ட பேலோட், பின்னர் டிகோட் செய்யப்பட்டு செயல்படுத்தப்படுகிறது.

கண்டறிதல் மற்றும் தடுப்பு நடவடிக்கைகள்

• இத்தகைய அச்சுறுத்தல்களை எதிர்கொள்ள, பாதுகாப்பு குழுக்கள்:
• இயக்கி நிறுவல் நிகழ்வுகளைக் கண்காணிக்கவும், குறிப்பாக பாதிக்கப்படக்கூடிய இயக்கிகள் சம்பந்தப்பட்டவை.
• சந்தேகத்திற்கிடமான கர்னல் பிழைத்திருத்த செயல்பாட்டைக் கவனியுங்கள், குறிப்பாக கர்னல் பிழைத்திருத்தம் எதிர்பார்க்கப்படாத கணினிகளில்.
• அறியப்பட்ட பாதிப்புகளுக்கான இணைப்புகள் உட்பட அனைத்து பாதுகாப்பு மென்பொருட்களும் புதுப்பிக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும்.
• தாக்குதல் நடத்துபவர்கள் இதுபோன்ற பாதிப்புகளைப் பயன்படுத்துவதைத் தடுக்க நிர்வாகி சலுகைகளைக் கட்டுப்படுத்துங்கள்.

சைபர் அச்சுறுத்தல் நடிகர்கள் தொடர்ந்து பரிணமித்து வருவதால், டாடிகேட் நடத்துவது போன்ற அதிநவீன தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பதில் விழிப்புடன் இருப்பதும், முன்கூட்டியே செயல்படும் பாதுகாப்பு நடவடிக்கைகளைச் செயல்படுத்துவதும் மிக முக்கியம்.