ESET 反驳趋势科技报告，已为 Win10/Win11 防御 LOLBIN 攻击

IT之家 2 月 19 日消息，科技媒体 bleepingcomputer 昨日（2 月 18 日）发布博文，报道称安全公司趋势科技报告针对微软 Windows 10 和 Windows 11 系统的 LOLBIN 攻击技术，并在结论中提及“有效绕过 ESET 反病毒程序”，随后 ESET 发布声明反驳该观点。

LOLBIN 攻击技术简介

趋势科技报告称 LOLBIN 攻击可以追溯到 2022 年，已确认超过 200 名受害者，主要通过伪装成政府机构、非政府组织、智库或执法部门的钓鱼邮件进行攻击。

攻击邮件中包含名为“IRSetup.exe”的恶意附件。一旦受害者执行该附件，恶意程序会将多个文件释放到“C:\ProgramData\session”目录，包括合法的系统文件、恶意软件组件以及一个用于迷惑用户的 PDF 文件。

恶意程序检测到目标主机安装了 ESET 杀毒软件时，会利用 Windows 10 及更高版本预装的“微软应用程序虚拟化注入器（MAVInject.exe）”（一个合法的系统工具）进行攻击。

黑客会将恶意代码注入到“waitfor.exe”进程中。“waitfor.exe”是 Windows 系统中一个用于同步进程的合法工具，由于其具有系统信任，因此可以逃避杀毒软件的检测。

被注入的恶意代码是经过修改的 TONESHELL 后门，隐藏在一个名为“EACore.dll”的文件中。运行后，该后门会连接到位于“militarytccom:443”的命令控制服务器，发送系统信息和受害者 ID，并允许攻击者远程执行命令和操作文件。

ESET 反驳

IT之家援引博文，针对趋势科技的报告，ESET 发表声明表示不同意其“有效绕过 ESET 反病毒”的结论。ESET 强调，该技术并非新颖，且 ESET 技术已多年防范此类攻击。

ESET 声称早在 1 月份就已针对该恶意软件添加了特定检测，ESET 用户目前受到保护，免受该恶意软件和技术的侵害。