ESET 也是計(jì)算機(jī)領(lǐng)域的知名安全軟件，不過 ESET 的競爭對手卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn) ESET 命令行掃描程序存在嚴(yán)重安全漏洞，黑客利用該漏洞部署名為 TCESB 的后門程序并且不會被 ESET 檢測到。

該漏洞編號為 CVE-2024-11859，攻擊者利用 ESET 命令行掃描程序的加載方式劫持系統(tǒng)組件庫的加載過程，由于掃描程序不會從系統(tǒng)目錄中檢索正常的庫，而是首先查找其當(dāng)前所在的目錄，這構(gòu)成了典型的 “自帶易受攻擊的驅(qū)動程序” 攻擊手法。

發(fā)起攻擊的黑客組織被命名為 ToddyCat，該高級持續(xù)性威脅組織 (APT) 首次是在 2021 年被發(fā)現(xiàn)，攻擊目標(biāo)主要是高價(jià)值用戶群，例如政府機(jī)構(gòu)、軍事組織以及某些關(guān)鍵基礎(chǔ)設(shè)施，攻擊目標(biāo)主要在亞洲和歐洲。

具體的利用手法則是黑客將惡意動態(tài)鏈接庫 version.dll 放在 ESET 命令行掃描程序所在的目錄中，這迫使 ESET 端點(diǎn)保護(hù)工具運(yùn)行自定義惡意軟件從而繞過標(biāo)準(zhǔn)的安全檢測機(jī)制，這種行為或許也在完全詮釋什么叫做燈下黑。

卡巴斯基實(shí)驗(yàn)室表示黑客部署的后門程序 TCESB 是名為 EDRSandBlast 開源工具的修改版本，這個(gè)開源工具可以改變操作系統(tǒng)內(nèi)核結(jié)構(gòu)和禁用回調(diào)相關(guān)的功能，黑客應(yīng)該是利用修改后的版本實(shí)現(xiàn)某些特定操作以便能夠繼續(xù)進(jìn)行其他惡意操作。

ESET 接到卡巴斯基的通報(bào)后在 2025 年 1 月發(fā)布更新修復(fù)這枚漏洞，基于安全考慮卡巴斯基并未第一時(shí)間披露漏洞細(xì)節(jié)，當(dāng)前大多數(shù)企業(yè)應(yīng)該已經(jīng)完成升級，所以卡巴斯基才披露漏洞細(xì)節(jié)。

卡巴斯基實(shí)驗(yàn)室表示：為了檢測此類工具的活動，建議持續(xù)監(jiān)控系統(tǒng)里涉及到已知漏洞驅(qū)動程序的安裝事件，同時(shí)還值得監(jiān)控與不需要調(diào)試操作系統(tǒng)內(nèi)核的設(shè)備上加載 Windows NT 內(nèi)核調(diào)試符號相關(guān)的事件，這類事件可能存在惡意因此應(yīng)當(dāng)關(guān)注。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/