安全厂商口水战：ESET 反驳趋势科技报告，已为 Win10 / Win11 防御 LOLBIN 攻击

IT之家最新消息指出，科技资讯网站bleepingcomputer在昨日（2月18日）发布了一篇博文，详细介绍了安全公司趋势科技关于微软Windows 10和Windows 11系统的LOLBIN攻击技术。报告中提到“成功规避了ESET反病毒软件”的结论，并随后ESET发表声明否认了这一观点。

LOLBIN攻击技术概述

趋势科技的报告指出，LOLBIN攻击可追溯到2022年，已造成200多名受害者，主要通过伪装成政府机构、非政府组织、智库或执法机构的钓鱼邮件进行攻击。

这些攻击邮件中包含了一个名为“IRSetup.exe”的恶意附件。一旦受害者打开该附件，恶意程序就会释放多个文件到“C:\ProgramData\session”目录下，包括合法系统文件、恶意软件组件以及一个用于误导用户的PDF文件。

当恶意程序检测到目标主机上安装了ESET杀毒软件时，便利用Windows 10及更高版本中预装的“Microsoft Application Virtualization Injector（MAVInject.exe）”（一个合法的系统工具）来进行攻击。

黑客会将恶意代码注入到“waitfor.exe”进程中。“waitfor.exe”是Windows系统中一个用于同步进程的合法工具，由于具备系统信任，因此可以避开杀毒软件的检测。

被注入的恶意代码经过修改的TONESHELL后门，隐藏在一个名为“EACore.dll”的文件中。一旦运行，后门就会连接到“militarytccom:443”上的命令控制服务器，发送系统信息和受害者ID，从而允许攻击者远程执行命令和操作文件。

ESET的反驳声明

根据IT之家引用的博文内容，ESET对趋势科技的报告发表声明，表示不同意其“成功规避ESET反病毒”的结论。ESET强调，这种技术并不新颖，而且ESET技术团队多年来一直在预防此类攻击。

ESET声称他们在1月份就已经为这种恶意软件添加了具体检测，目前ESET用户得到了保护，免受这种恶意软件和技术的侵害。

广告声明：本文中可能包含外链，旨在提供更多信息，节省您的时间，仅供参考。