ESET 病毒扫描工具被曝严重漏洞,黑客借此部署后门程序悄然绕过检测!

知名安全软件 ESET 被曝存在严重安全漏洞,令人意外的是,这一漏洞竟然出现在其命令行病毒扫描工具中。而揭露此漏洞的,正是其竞争对手——卡巴斯基实验室。

图片[1]-ESET 病毒扫描工具被曝严重漏洞,黑客借此部署后门程序悄然绕过检测!-零度博客

漏洞编号:CVE-2024-11859

攻击者利用 ESET 命令行扫描程序的库加载机制缺陷,通过劫持动态链接库加载流程,实现恶意代码注入。具体来说,ESET 扫描程序在加载系统组件时优先查找当前工作目录,而非系统目录,从而导致攻击者能够放置恶意 DLL 文件(如 version.dll),实现自定义恶意代码的执行——这是典型的“自带易受攻击驱动程序”攻击方式。

黑客组织:ToddyCat

此次攻击来自名为 ToddyCat 的高级持续性威胁组织(APT),该组织自 2021 年首次被发现以来,主要针对政府、军事及关键基础设施等高价值目标,活跃地区覆盖亚洲与欧洲。

利用过程:用 ESET 绕过 ESET

黑客将恶意 DLL 放入 ESET 命令行扫描工具所在目录中,使 ESET 工具在执行时自动加载并运行后门程序,从而绕过标准安全检测机制。这一攻击方式也堪称对“灯下黑”一词的完美诠释——黑客借助安全软件本身来避开其防护。

部署后门:TCESB

卡巴斯基指出,攻击者使用的后门程序名为 TCESB,该程序是基于开源工具 EDRSandBlast 修改而成。该工具原本用于规避EDR(端点检测与响应)机制,具有篡改内核结构、禁用回调等高级能力。黑客通过修改版本实现特定恶意操作,进一步巩固控制权限。

官方回应与修复

ESET 在收到卡巴斯基通报后,于 2025 年 1 月 发布安全更新修复该漏洞。考虑到安全风险,卡巴斯基在漏洞修复前未公开披露细节,直至多数企业完成升级后,才正式公布攻击细节。

防范建议

卡巴斯基建议用户及企业持续监控以下可疑行为:

  • 系统中涉及已知漏洞驱动程序的安装事件;

  • 在无需调试的设备上加载 Windows NT 内核调试符号的行为。

上述活动极有可能暗藏恶意,应引起高度重视。

THE END
喜欢就支持一下吧
点赞2815 分享
Gemini :谷歌发布最强AI大模型!打爆GPT-4-零度博客

Gemini :谷歌发布最强AI大模型!打爆GPT-4

  1.Gemini 官网:【链接直达】 2.谷歌Bard:【链接直达】   谷歌Gemini背后技术的杀手锏,便是原生多模态(natively multimodal)。 因为以往创建多模态大模型的方法,通常是为不同...
Netgear 警告用户修补最近修复的 WiFi 路由器漏洞-零度博客

Netgear 警告用户修补最近修复的 WiFi 路由器漏洞

Netgear 已经修复了一个影响多个 WiFi 路由器型号的高危漏洞,并建议客户尽快将他们的设备更新到最新的可用固件。 该漏洞影响多个Wireless AC Nighthawk、Wireless AX Nighthawk (WiFi 6)和Wire...
admin的头像-零度博客admin
1.2W+6539
如何给视频、图片去除水印?这两个方法可以帮你节省很多时间!!-零度博客

如何给视频、图片去除水印?这两个方法可以帮你节省很多时间!!

1.视频去水印:Video-subtitle-remover (VSR) 是一款基于AI技术,将视频中的硬字幕去除的软件。 主要实现了以下功能:无损分辨率将视频中的硬字幕去除,生成去除字幕后的文件通过超强AI算法模型...
admin的头像-零度博客admin
6.5W+6256
选择优质CF的反代IP!大大提升你的上网速度-零度博客

选择优质CF的反代IP!大大提升你的上网速度

1.获取优质的反代了CloudFlare的ip,可以让你拥有Pro版的待遇,专线速度! 【点击获取】   2.下载CF反代ip的优选工具,开源于Github 【点击下载】   3.注册一个免费的域名,如果你自...
admin的头像-零度博客admin
1.7W+6540
推荐7款非常实用的 ChatGPT 浏览器插件!-零度博客

推荐7款非常实用的 ChatGPT 浏览器插件!

1.ChatGP连接互联网  因为目前ChatGPT 人工智能仅限于 2021 年以前的信息,但是通过这款扩展,它可以访问互联网上的最新信息 【链接】 2.引擎的搜索结果页面展现ChatGPT   它可以在搜索引擎...
admin的头像-零度博客admin
1.3W+6539
Gminer 开源的挖矿软件!最受欢迎的挖矿程序-零度博客

Gminer 开源的挖矿软件!最受欢迎的挖矿程序

  Gminer 挖矿程序: 【点击下载】   Gminer特点: 佣金是连续收取的,而不是间隔收取的(就像大多数矿工一样),这对用户在 PPLNS 矿池上的盈利能力有积极影响 验证生成的 DAG,当 E...
OpenAI 惨遭解体!结局却又大反转,不亏是ChatGPT年度最精彩的“宫斗”大片 !! 好莱坞都不敢这么拍,谁又是背后最大赢家? | 零度解说-零度博客
Windows 11 上安装黑苹果 macOS系统!是怎样的一种体验?虚拟机安装macOS 最简单易懂的教程 | 零度解说-零度博客
免费VPN最强替代方案,Warp+ 优选IP,真正实现无限的高速流量!无需注册,速度超快!!支持PC、安卓、iOS、macOS、软路由等!CloudFlare 良心提供  | 零度解说-零度博客