至于骇客利用漏洞的过程,卡巴斯基透露,这项弱点他们是在去年初发现,当时他们在调查中国骇客ToddyCat涉及的资安事故,于多台受害装置侦测到名为version.dll的可疑档案。研究人员进一步调查,该DLL档案为64位元程式库,骇客以C++打造而成,是名为TCESB的复杂工具。
值得留意的是,TCESB的所有功能,都是从系统里相同档名的系统档案version.dll,研究人员指出骇客运用了名为DLL代理程式手法(DLL-proxying,也称为Hijack Execution Flow),他们直接从正常DLL档案导入所有功能,而非直接在恶意DLL档案实作,由于功能呼叫都会重新导向正常的DLL档案,使得应用程式载入恶意DLL仍能正常运作,但同时攻击者可在背景执行恶意程式码。
不过,光是上述手法,攻击者无法执行及控制恶意程式,研究人员进一步调查,才确认ToddyCat利用了CVE-2024-11859来载入TCESB。骇客以用于绕过端点防护机制的工具EDRSandBlast为基础打造TCESB,修改原本的EDRSandBlast程式码加入恶意软体功能。
值得一提的是,ToddyCat为了回避侦测,他们也运用自带驱动程式(BYOVD)手法,滥用存在CVE-2021-36276弱点的Dell公用程式元件DBUtilDrv2.sys,以便达到目的。