2 月 19 日消息,科技媒体 bleepingcomputer 昨日(2 月 18 日)发布博文,报道称安全公司趋势科技报告针对微软 Windows 10 和 Windows 11 系统的 LOLBIN 攻击技术,并在结论中提及“有效绕过 ESET 反病毒程序”,随后 ESET 发布声明反驳该观点。
LOLBIN 攻击技术简介趋势科技报告称 LOLBIN 攻击可以追溯到 2022 年,已确认超过 200 名受害者,主要通过伪装成政府机构、非政府组织、智库或执法部门的钓鱼邮件进行攻击。
攻击邮件中包含名为“IRSetup.exe”的恶意附件。一旦受害者执行该附件,恶意程序会将多个文件释放到“C:/ProgramData/session”目录,包括合法的系统文件、恶意软件组件以及一个用于迷惑用户的 PDF 文件。
恶意程序检测到目标主机安装了 ESET 杀毒软件时,会利用 Windows 10 及更高版本预装的“微软应用程序虚拟化注入器(MAVInject.exe)”(一个合法的系统工具)进行攻击。
黑客会将恶意代码注入到“waitfor.exe”进程中。“waitfor.exe”是 Windows 系统中一个用于同步进程的合法工具,由于其具有系统信任,因此可以逃避杀毒软件的检测。
被注入的恶意代码是经过修改的 TONESHELL 后门,隐藏在一个名为“EACore.dll”的文件中。运行后,该后门会连接到位于“militarytccom:443”的命令控制服务器,发送系统信息和受害者 ID,并允许攻击者远程执行命令和操作文件。
ESET 反驳援引博文,针对趋势科技的报告,ESET 发表声明表示不同意其“有效绕过 ESET 反病毒”的结论。ESET 强调,该技术并非新颖,且 ESET 技术已多年防范此类攻击。
ESET 声称早在 1 月份就已针对该恶意软件添加了特定检测,ESET 用户目前受到保护,免受该恶意软件和技术的侵害。
本文链接:http://www.28at.com/showinfo-119-131405-0.html安全厂商口水战:ESET 反驳趋势科技报告,已为 Win10 Win11 防御 LOLBIN 攻击
声明:本网页内容旨在传播知识,不代表本站观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。
