知名安全软件 ESET 被曝存在严重安全漏洞,令人意外的是,这一漏洞竟然出现在其命令行病毒扫描工具中。而揭露此漏洞的,正是其竞争对手——卡巴斯基实验室。
![图片[1]-ESET 病毒扫描工具被曝严重漏洞,黑客借此部署后门程序悄然绕过检测!-零度博客](https://www.freedidi.com/wp-content/uploads/2025/04/1cc39f690c20250411113432.webp)
漏洞编号:CVE-2024-11859
攻击者利用 ESET 命令行扫描程序的库加载机制缺陷,通过劫持动态链接库加载流程,实现恶意代码注入。具体来说,ESET 扫描程序在加载系统组件时优先查找当前工作目录,而非系统目录,从而导致攻击者能够放置恶意 DLL 文件(如 version.dll),实现自定义恶意代码的执行——这是典型的“自带易受攻击驱动程序”攻击方式。
黑客组织:ToddyCat
此次攻击来自名为 ToddyCat 的高级持续性威胁组织(APT),该组织自 2021 年首次被发现以来,主要针对政府、军事及关键基础设施等高价值目标,活跃地区覆盖亚洲与欧洲。
利用过程:用 ESET 绕过 ESET
黑客将恶意 DLL 放入 ESET 命令行扫描工具所在目录中,使 ESET 工具在执行时自动加载并运行后门程序,从而绕过标准安全检测机制。这一攻击方式也堪称对“灯下黑”一词的完美诠释——黑客借助安全软件本身来避开其防护。
部署后门:TCESB
卡巴斯基指出,攻击者使用的后门程序名为 TCESB,该程序是基于开源工具 EDRSandBlast 修改而成。该工具原本用于规避EDR(端点检测与响应)机制,具有篡改内核结构、禁用回调等高级能力。黑客通过修改版本实现特定恶意操作,进一步巩固控制权限。
官方回应与修复
ESET 在收到卡巴斯基通报后,于 2025 年 1 月 发布安全更新修复该漏洞。考虑到安全风险,卡巴斯基在漏洞修复前未公开披露细节,直至多数企业完成升级后,才正式公布攻击细节。
防范建议
卡巴斯基建议用户及企业持续监控以下可疑行为:
-
系统中涉及已知漏洞驱动程序的安装事件;
-
在无需调试的设备上加载 Windows NT 内核调试符号的行为。
上述活动极有可能暗藏恶意,应引起高度重视。
THE END
