ToddyCat 그룹의 ESET 취약점 악용 및 커널 권한 획득 기법 분석

ToddyCat Attackers Exploited ESET Command Line Scanner Vulnerability to Conceal Their Tool

ToddyCat Attackers Exploited ESET Command Line Scanner Vulnerability to Conceal Their Tool

 

• 주요 개요
  • ToddyCat APT 그룹은 ESET의 명령어 기반 검사 도구(ecls)에서 발견된 취약점(CVE-2024-11859)을 악용하여 악성 DLL(version.dll)을 로드함으로써 탐지를 회피함
  • 해당 악성 DLL은 정상 DLL과 동일한 함수 시그니처를 내보내는 프록시 DLL 형태로 동작하며, 백그라운드에서 악성 페이로드 실행
  • 악성 도구(TCESB)는 드라이버 취약점 활용 및 커널 구조 조작을 통해 보안 이벤트 알림을 비활성화
• 취약점 상세 분석 (CVE-2024-11859)
  • ESET 명령어 검사기(ecls.exe)가 version.dll을 시스템 경로보다 로컬 디렉토리에서 먼저 로딩하는 DLL 하이재킹 방식 존재
  • 공격자는 임시 디렉토리에 악성 DLL(version.dll)을 배치하고 정상 실행 시 함께 로드되도록 구성
  • 이는 불안전한 DLL 로딩 경로 설정으로 인해 발생하는 전형적인 DLL Sideloading 유형
• 공격 기법 및 도구(TCESB)
  • 공격자는 BYOVD(Bring Your Own Vulnerable Driver) 기법을 사용해 Dell의 DBUtilDrv2.sys(CVE-2021-36276) 취약 드라이버를 설치하여 커널 권한 획득
  • 해당 드라이버를 통해 Windows 커널 구조(예: 이벤트 통지 함수 테이블 등)를 조작하여 프로세스 생성, 모듈 로딩 이벤트 비활성화
  • TCESB는 시스템 버전 분석을 통해 커널 구조 오프셋을 계산하며, 필요 시 Microsoft PDB 서버에서 심볼 정보를 다운로드
• 침해 지표(IOC)
  • 악성 파일 해시
    • version.dll: D38E3830C8BA3A00794EF3077942AD96
    • version.dll: 008F506013456EA5151DF779D3E3FF0F
  • 사용된 정상 파일
    • Dell 드라이버: dbutildrv2.INF, DBUtilDrv2.cat, dbutildrv2.sys
    • 악용된 정상 프로그램: ecls.exe (ESET 명령줄 검사기)
• 보안 권고
  • 취약 드라이버 탐지를 위해 loldrivers 등 공개 취약 드라이버 목록 기반 탐지 정책 수립
  • DLL 로딩 경로 무결성 점검 및 보안 솔루션 디렉토리에 대한 쓰기 권한 최소화
  • 커널 디버깅 도구 접속 탐지, PDB 통신 이력 등 비정상 커널 액세스 로그 분석
  • ESET 사용자 대상 패치 적용 권고 (2025년 1월 21일 패치, 4월 4일 공식 보안 권고 발표)
• 결론
  • ToddyCat 그룹은 공격 체인 전반에 걸쳐 정상 도구 및 커널 취약점을 교묘하게 악용하여 탐지를 회피함
  • 특히 BYOVD 및 DLL 프록시 기법을 결합한 정교한 공격으로 보안 솔루션 우회가 가능해짐
  • 이러한 공격에 대응하기 위해 보안 솔루션 자체에 대한 위협 모델링, 자격 증명 기반 접근 통제, 드라이버 서명 정책 강화가 요구됨