Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows. Однако в последних версиях Windows драйверы режима ядра загружаются только при наличии цифровой подписи Microsoft.
Описание
В результате атакующие обошли этот механизм защиты, используя легитимные драйверы с нужной подписью, но содержащие уязвимости, позволяющие выполнение вредоносных действий в контексте ядра.
Атакующая группа ToddyCat запустила свой инструмент, названный TCESB, в контексте решения безопасности, чтобы скрыть свою деятельность. Установка таких драйверов и проверка приложений, которые их выполняют, могут быть обнаружены средствами мониторинга. Однако, если само решение безопасности выполняет небезопасные действия, оно может быть незаметным для этих средств.
TCESB обнаружен как подозрительный файл version.dll, который оказался сложным инструментом, предназначенным для выполнения полезной нагрузки в обход установленных защитных и мониторинговых средств. Он использует технику проксирования DLL (Hijack Execution Flow), чтобы эскпортировать функции легитимной DLL, но вместо их реализации перенаправлять вызовы в оригинальную DLL. Это позволяет приложению, загрузившему вредоносную библиотеку, продолжать работать в обычном режиме, в то время как вредоносный код выполняется в фоновом режиме.
Для запуска вредоносного ПО, приложение, загружающее вредоносную DLL, должно содержать небезопасный код. В данном случае это была уязвимость в сканере командной строки ESET (CVE-2024-11859), который небезопасно загружал системную библиотеку version.dll. Проанализировав системные каталоги, где были обнаружены вредоносные DLL, исследователи нашли исполняемый файл без расширения с именем ecls, который являлся компонентом EPP-решения ESET. Этот файл был обновлен, чтобы устранить уязвимость.
Анализ TCESB показал, что он содержит строки из вредоносного инструмента с открытым исходным кодом EDRSandBlast, который предназначен для обхода защитных решений. ToddyCat создала свой инструмент TCESB на основе этого исходного кода. Таким образом, ToddyCat использовала несколько методов, включая проксирование DLL и использование уязвимостей в других приложениях, чтобы обойти защитные механизмы и остаться незамеченной.
Indicators of Compromise
MD5
- 008f506013456ea5151df779d3e3ff0f
- d38e3830c8ba3a00794ef3077942ad96
SHA1
- 02efeb46881298f10dcf39b66197283ff51d708b
- 0648aefac6a56ea3bf09b012ddb607db885e1c74
SHA256
- 7416d18d12fc3f8afc366ff92f3072c726ea34b4b3ed4545fc2ef78ffd60a2e6
- b9272a0e514ce590923fae28943de7da6ce36bc7b5bd05455c73175f1d979f12
