TCESB惡意軟體
據觀察,一個以在亞洲發動網路攻擊而聞名的中國威脅行為者利用 ESET 安全軟體中的漏洞來傳播代號為 TCESB 的未記錄惡意軟體。這種新發現的惡意軟體旨在繞過安全措施並執行未被發現的有效載荷。
目錄
ToddyCat:亞洲的持續威脅
ToddyCat 是一個高階威脅組織,至少自 2020 年 12 月以來一直活躍,目標是亞洲的多個實體。最近對其活動的調查顯示,他們使用各種工具來維持對受感染系統的持續訪問,並從亞太地區的組織收集大量數據。
利用漏洞:DLL劫持技術
2024 年初,調查 ToddyCat 相關事件的安全研究人員在多個受感染設備的臨時目錄中發現了一個可疑的 DLL 檔案「version.dll」。該檔案被標識為 TCESB,是使用 DLL 搜尋順序劫持進行部署的,這使得攻擊者可以透過取代合法的 DLL 檔案來控製程式執行。
此次攻擊利用了 ESET 命令列掃描程式中的一個缺陷,該缺陷會不安全地載入「version.dll」檔案。它不是從系統目錄載入合法版本,而是先檢查當前目錄,這為攻擊者提供了引入自己的惡意 DLL 的機會。
CVE-2024-11859:被利用的漏洞
此漏洞編號為 CVE-2024-11859(CVSS 評分:6.8),可使具有管理員權限的攻擊者執行不安全的程式碼。然而,該漏洞本身並沒有授予提升的權限——攻擊者需要管理員存取權限才能利用它。 ESET 於 2025 年 1 月修補了該漏洞,並針對 Windows 上的消費者、商業和伺服器安全產品發布了更新。
EDRSandBlast 武器化:TCESB 如何停用安全保護
TCESB 是開源工具 EDRSandBlast 的修改版本。它操縱核心結構來停用安全機制,例如通知例程(回呼),這些機制是向系統驅動程式發出有關進程創建或註冊表更改等關鍵事件的警報的關鍵功能。
為了實現這一目標,TCESB 採用了著名的自帶易受攻擊驅動程式 (BYOVD) 技術,透過裝置管理器介面安裝易受攻擊的戴爾驅動程式 (DBUtilDrv2.sys)。此驅動程式受到權限提升漏洞 CVE-2021-36276 的影響。
戴爾驅動程式:反覆出現的薄弱環節
這並不是戴爾驅動程式第一次遭遇網路攻擊。 2022 年,與北韓有關的 Lazarus 集團利用另一個戴爾驅動程式漏洞 (CVE-2021-21551) 來停用安全機制。攻擊者繼續利用過時或易受攻擊的驅動程式來繞過安全措施。
TCESB的執行策略
一旦安裝了存在漏洞的驅動程序,TCESB 就會每兩秒持續檢查當前目錄中具有特定名稱的有效載荷檔案。如果有效載荷最初不存在,TCESB 會等待直到它出現。然後解碼並執行使用 AES-128 加密的有效載荷。
檢測和預防措施
- 為了應對此類威脅,安全團隊應該:
- 監控驅動程式安裝事件,尤其是涉及易受攻擊的驅動程式的事件。
- 注意可疑的核心調試活動,特別是在不需要核心調試的系統上。
- 確保所有安全軟體都已更新,包括已知漏洞的修補程式。
- 限制管理員權限,以防止攻擊者利用此類漏洞。
隨著網路威脅行為者的不斷發展,保持警惕並實施主動的安全措施對於防禦像 ToddyCat 這樣的複雜攻擊至關重要。
