安全廠商口水戰(zhàn)：ESET 反駁趨勢(shì)科技報(bào)告，已為 Win10 / Win11 防御 LOLBIN 攻擊

IT之家 2 月 19 日消息，科技媒體 bleepingcomputer 昨日（2 月 18 日）發(fā)布博文，報(bào)道稱安全公司趨勢(shì)科技報(bào)告針對(duì)微軟 Windows 10 和 Windows 11 系統(tǒng)的 LOLBIN 攻擊技術(shù)，并在結(jié)論中提及“有效繞過(guò) ESET 反病毒程序”，隨后 ESET 發(fā)布聲明反駁該觀點(diǎn)。

LOLBIN 攻擊技術(shù)簡(jiǎn)介

趨勢(shì)科技報(bào)告稱 LOLBIN 攻擊可以追溯到 2022 年，已確認(rèn)超過(guò) 200 名受害者，主要通過(guò)偽裝成政府機(jī)構(gòu)、非政府組織、智庫(kù)或執(zhí)法部門的釣魚(yú)郵件進(jìn)行攻擊。

攻擊郵件中包含名為“IRSetup.exe”的惡意附件。一旦受害者執(zhí)行該附件，惡意程序會(huì)將多個(gè)文件釋放到“C:\ProgramData\session”目錄，包括合法的系統(tǒng)文件、惡意軟件組件以及一個(gè)用于迷惑用戶的 PDF 文件。

惡意程序檢測(cè)到目標(biāo)主機(jī)安裝了 ESET 殺毒軟件時(shí)，會(huì)利用 Windows 10 及更高版本預(yù)裝的“微軟應(yīng)用程序虛擬化注入器（MAVInject.exe）”（一個(gè)合法的系統(tǒng)工具）進(jìn)行攻擊。

黑客會(huì)將惡意代碼注入到“waitfor.exe”進(jìn)程中?！?span id="jjtr3jd" class="link-text-start-with-http">waitfor.exe”是 Windows 系統(tǒng)中一個(gè)用于同步進(jìn)程的合法工具，由于其具有系統(tǒng)信任，因此可以逃避殺毒軟件的檢測(cè)。

被注入的惡意代碼是經(jīng)過(guò)修改的 TONESHELL 后門，隱藏在一個(gè)名為“EACore.dll”的文件中。運(yùn)行后，該后門會(huì)連接到位于“militarytccom:443”的命令控制服務(wù)器，發(fā)送系統(tǒng)信息和受害者 ID，并允許攻擊者遠(yuǎn)程執(zhí)行命令和操作文件。

ESET 反駁

IT之家援引博文，針對(duì)趨勢(shì)科技的報(bào)告，ESET 發(fā)表聲明表示不同意其“有效繞過(guò) ESET 反病毒”的結(jié)論。ESET 強(qiáng)調(diào)，該技術(shù)并非新穎，且 ESET 技術(shù)已多年防范此類攻擊。

ESET 聲稱早在 1 月份就已針對(duì)該惡意軟件添加了特定檢測(cè)，ESET 用戶目前受到保護(hù)，免受該惡意軟件和技術(shù)的侵害。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。