ESET 病毒扫描工具被曝严重漏洞,黑客借此部署后门程序悄然绕过检测!

知名安全软件 ESET 被曝存在严重安全漏洞,令人意外的是,这一漏洞竟然出现在其命令行病毒扫描工具中。而揭露此漏洞的,正是其竞争对手——卡巴斯基实验室。

图片[1]-ESET 病毒扫描工具被曝严重漏洞,黑客借此部署后门程序悄然绕过检测!-零度博客

漏洞编号:CVE-2024-11859

攻击者利用 ESET 命令行扫描程序的库加载机制缺陷,通过劫持动态链接库加载流程,实现恶意代码注入。具体来说,ESET 扫描程序在加载系统组件时优先查找当前工作目录,而非系统目录,从而导致攻击者能够放置恶意 DLL 文件(如 version.dll),实现自定义恶意代码的执行——这是典型的“自带易受攻击驱动程序”攻击方式。

黑客组织:ToddyCat

此次攻击来自名为 ToddyCat 的高级持续性威胁组织(APT),该组织自 2021 年首次被发现以来,主要针对政府、军事及关键基础设施等高价值目标,活跃地区覆盖亚洲与欧洲。

利用过程:用 ESET 绕过 ESET

黑客将恶意 DLL 放入 ESET 命令行扫描工具所在目录中,使 ESET 工具在执行时自动加载并运行后门程序,从而绕过标准安全检测机制。这一攻击方式也堪称对“灯下黑”一词的完美诠释——黑客借助安全软件本身来避开其防护。

部署后门:TCESB

卡巴斯基指出,攻击者使用的后门程序名为 TCESB,该程序是基于开源工具 EDRSandBlast 修改而成。该工具原本用于规避EDR(端点检测与响应)机制,具有篡改内核结构、禁用回调等高级能力。黑客通过修改版本实现特定恶意操作,进一步巩固控制权限。

官方回应与修复

ESET 在收到卡巴斯基通报后,于 2025 年 1 月 发布安全更新修复该漏洞。考虑到安全风险,卡巴斯基在漏洞修复前未公开披露细节,直至多数企业完成升级后,才正式公布攻击细节。

防范建议

卡巴斯基建议用户及企业持续监控以下可疑行为:

  • 系统中涉及已知漏洞驱动程序的安装事件;

  • 在无需调试的设备上加载 Windows NT 内核调试符号的行为。

上述活动极有可能暗藏恶意,应引起高度重视。

THE END
喜欢就支持一下吧
点赞2815 分享
免费获取 15个月 Gemini AI Pro 套餐!无需学生邮箱,切勿错过!-零度博客

免费获取 15个月 Gemini AI Pro 套餐!无需学生邮箱,切勿错过!

Google 推出 Gemini Advanced 替代方案!原价 $20/月的 Google One AI 进阶计划,现在限时可免费领取!除了针对学生用户推出赠送 Gemini AI Pro 15 个月 的优惠活动之外,还有一个不需要学生邮...
admin的头像-零度博客admin
8.2W+922
让 Mac 像 Windows 一样使用 Alt + Tab 切换窗口:AltTab-零度博客

让 Mac 像 Windows 一样使用 Alt + Tab 切换窗口:AltTab

AltTab 是一款 macOS 应用,它可以让你的 Mac 像 Windows 一样使用 Alt + Tab 切换窗口时,可以预览窗口内容,快捷键是 option ⌥ + tab。原生支持 M1 芯片。 AltTab:Windows alt-tab on macOS...
admin的头像-零度博客admin
1.6W+2251
7个你一定没见过的有趣网站,打发无聊时光的神器!-零度博客

7个你一定没见过的有趣网站,打发无聊时光的神器!

1.寻找隐形的牛 网址:https://findtheinvisiblecow.com 玩这个游戏要打开声音,戴上耳机,移动你的鼠标直到你找到隐藏的牛,鼠标离得越近,它叫的越响   2.在线模拟开车 这种放松型游戏,...
admin的头像-零度博客admin
3.1W+6258
K歌必备神器!全民K歌、K歌达人 支持电脑 \手机 \电视TV-零度博客

K歌必备神器!全民K歌、K歌达人 支持电脑 \手机 \电视TV

  1.全民K歌是大陆用户的首选,如果在海外的话需要注册大陆的Apple ID才能下载安装。   【官网】     2.K歌达人,海内外都可以使用,但是功能没有全民K歌那么丰富。 【官网...
admin的头像-零度博客admin
1.7W+1682
一键关闭Windows 10、Windows 11的自动更新功能-零度博客

一键关闭Windows 10、Windows 11的自动更新功能

Windows Update Blocker 是一款免费软件,只需单击一下按钮,即可帮助您完全禁用或启用 Windows 系统上的自动更新。该实用程序是便携式的,这意味着您不再需要完成安装过程,并且在移除后硬盘上...
admin的头像-零度博客admin
1.8W+2250
Camtasia 教程,真正好用的Camtasia激活方法!-零度博客

Camtasia 教程,真正好用的Camtasia激活方法!

  步骤1: 首先,您从任何站点下载最新版本的Camtasia studio并将其安装在PC /计算机中 步骤2:不要打开软件 STEP 3: 找到RegInfo.ini 文件,文件所在目录:C:\ProgramData\TechSmith\Cam...
在 Windows 上查找程序安装位置的 4 种方法-零度博客

在 Windows 上查找程序安装位置的 4 种方法

需要在 Windows 中查找程序的位置?幸运的是,一旦你学会了如何做,这真的很容易。 当您安装一个新程序时,有时您不会注意它的实际运行位置。虽然这通常没什么大不了的,但有时您需要知道 Windo...
AM4 与 AM5:是时候升级了吗?-零度博客

AM4 与 AM5:是时候升级了吗?

AMD 为其即将推出的 Ryzen 7000 芯片推出了全新的 AM5 插槽。但它与 AM4 的主要区别是什么,是否值得升级? AMD 在 2022 年 CES 上大放异彩,宣布了 Ryzen 6000 和 Ryzen 7000 CPU,前者作为笔...
admin的头像-零度博客admin
1.6W+2251
Windows 10  LTSC 长期服务版!免费下载、安装并激活教程,超级流畅!  | 零度解说-零度博客

Windows 10 LTSC 长期服务版!免费下载、安装并激活教程,超级流畅! | 零度解说

https://youtu.be/tz3jM6UoDWo   【零度会员】▶https://www.freedidi.com/2454.html 【油管会员】▶https://www.youtube.com/channel/UCvijahEyGtvMpmMHBu4FS2w/join —————————...
admin的头像-零度博客admin
2.2W+2232