TCESB恶意软件
一个以在亚洲各地发动网络攻击而闻名的中国威胁行为者被发现利用 ESET 安全软件中的一个漏洞,传播一款此前未记录的恶意软件,代号为 TCESB。这款新发现的恶意软件旨在绕过安全措施,并在不被发现的情况下执行有效载荷。
目录
ToddyCat:亚洲的持续威胁
ToddyCat 是一个高级威胁组织,自 2020 年 12 月起活跃,主要针对亚洲的多个实体。近期对其活动的调查显示,该组织使用各种工具来维持对受感染系统的持续访问,并从亚太地区的组织收集大量数据。
利用漏洞:DLL劫持技术
2024 年初,安全研究人员在调查 ToddyCat 相关事件时,在多台受感染设备的临时目录中发现了一个可疑的 DLL 文件“version.dll”。该文件被识别为 TCESB,并利用 DLL 搜索顺序劫持技术进行部署,该技术允许攻击者通过替换合法的 DLL 文件来控制程序的执行。
此次攻击利用了 ESET 命令行扫描程序中的一个漏洞,该漏洞会不安全地加载“version.dll”文件。它不会从系统目录加载合法版本,而是先检查当前目录,这给攻击者提供了引入恶意 DLL 的机会。
CVE-2024-11859:被利用的漏洞
该漏洞编号为 CVE-2024-11859(CVSS 评分:6.8),允许具有管理员权限的攻击者执行不安全代码。然而,该漏洞本身并未授予提升的权限——攻击者需要管理员权限才能利用该漏洞。ESET 于 2025 年 1 月修复了该漏洞,并为其 Windows 上的消费者、企业和服务器安全产品发布了更新。
EDRSandBlast 武器化:TCESB 如何禁用安全保护
TCESB 是开源工具 EDRSandBlast 的修改版本。它通过操纵内核结构来禁用诸如通知例程(回调)之类的安全机制。这些关键函数会向系统驱动程序发出有关进程创建或注册表更改等关键事件的警报。
为了实现此目的,TCESB 采用了众所周知的“自带易受攻击驱动程序”(BYOVD)技术,通过设备管理器界面安装了一个易受攻击的戴尔驱动程序 (DBUtilDrv2.sys)。该驱动程序受到权限提升漏洞 CVE-2021-36276 的影响。
戴尔驱动程序:反复出现的薄弱环节
这并非戴尔驱动程序首次遭遇网络攻击。2022年,与朝鲜有关联的Lazarus Group利用另一个戴尔驱动程序漏洞 (CVE-2021-21551) 禁用了安全机制。攻击者仍在继续利用过时或易受攻击的驱动程序来绕过安全措施。
TCESB的执行策略
一旦存在漏洞的驱动程序安装成功,TCESB 就会每两秒持续检查当前目录中是否存在特定名称的有效载荷文件。如果有效载荷最初不存在,TCESB 就会等待,直到它出现。然后,使用 AES-128 加密的有效载荷会被解码并执行。
检测和预防措施
- 为了应对此类威胁,安全团队应该:
- 监控驱动程序安装事件,尤其是涉及易受攻击的驱动程序的事件。
- 注意可疑的内核调试活动,特别是在不需要内核调试的系统上。
- 确保所有安全软件都已更新,包括已知漏洞的补丁。
- 限制管理员权限,以防止攻击者利用此类漏洞。
随着网络威胁行为者的不断发展,保持警惕并实施主动的安全措施对于防御像 ToddyCat 这样的复杂攻击至关重要。
