ESET 反击：Win10 / Win11 完美抵御 LOLBIN 攻击，趋势科技报告遭驳斥

揭秘：安全专家揭示Win10 / Win11如何成功抵御LOLBIN攻击，打破传统认知！

　　 2月19日消息，科技媒体bleepingcomputer于昨日（2月18日）发表文章，指出安全公司趋势科技发布了一份关于针对微软Windows 10和Windows 11系统LOLBIN攻击技术的报告，并在报告结论中提到能够“有效绕过ESET反病毒程序”。对此，ESET迅速发布声明进行驳斥。

　　 趋势科技的报告显示，LOLBIN攻击最早可追溯至2022年，迄今已确认超过200名受害者。这些攻击主要通过伪装成政府机关、非政府组织、智库或执法部门的钓鱼邮件进行。

　　 最近发现了一种新的攻击手段，这种攻击通过发送带有“IRSetup.exe”恶意附件的电子邮件进行传播。一旦收件人运行了这个附件，恶意程序就会在“C:\ProgramData\session”目录下释放多个文件，其中包括一些看似正常的系统文件、实际具有危险性的恶意软件组件以及一个用来迷惑用户的PDF文件。 这种利用人们疏忽大意的心理进行攻击的方式确实令人担忧。它不仅体现了网络犯罪分子对技术的熟练掌握，也揭示了他们如何巧妙地设计诱饵来吸引潜在受害者的注意力。随着网络安全意识的提高，我们有必要加强对于此类威胁的认识，并采取更有效的防范措施。企业和个人用户都应定期更新软件和操作系统，安装可靠的反病毒软件，同时对未知来源的邮件和附件保持高度警惕。只有这样，才能有效减少成为这类攻击受害者的风险。

　　 恶意软件在发现目标主机上安装了ESET杀毒软件后，会利用Windows 10及其更高版本中预装的“微软应用程序虚拟化注入器（MAVInject.exe）”这一合法系统工具进行攻击。这种手段表明，黑客越来越倾向于使用系统自带的工具来实施攻击，以绕过传统安全措施的检测。这不仅反映出当前网络安全防御面临的挑战日益严峻，也提醒我们，在选择杀毒软件的同时，还需要考虑其与操作系统之间的兼容性和相互作用，以便更好地防范此类高级威胁。此外，这也凸显了定期更新和升级操作系统以及安全软件的重要性，以确保能够应对不断变化的安全威胁。

　　 黑客会将恶意代码注入到“waitfor.exe”进程中。“waitfor.exe”是 Windows 系统中一个用于同步进程的合法工具，由于其具有系统信任，因此可以逃避杀毒软件的检测。

　　 被注入的恶意代码是经过修改的 TONESHELL 后门，隐藏在一个名为“EACore.dll”的文件中。运行后，该后门会连接到位于“militarytccom:443”的命令控制服务器，发送系统信息和受害者 ID，并允许攻击者远程执行命令和操作文件。

　　 援引博文，ESET公司近日对趋势科技的一份报告提出了异议，报告声称存在能够有效绕过ESET反病毒软件的技术。ESET方面回应称，这种技术并不新鲜，他们的防护系统多年来一直在应对这类威胁。 这一回应凸显了网络安全领域中不同厂商之间对于威胁评估的分歧。一方面，趋势科技作为业界领先的网络安全公司，发布报告指出新型威胁，旨在提醒用户和同行加强防护措施。另一方面，ESET则认为该威胁并非全新，他们已有相应的防御机制在发挥作用。这样的争论不仅体现了技术发展的复杂性，也反映了厂商间对于同一问题的不同解读和反应方式。这要求用户在选择安全解决方案时，不仅要关注单一来源的安全警告，还应综合考量不同供应商的专业意见，以获得更全面的保护。

　　 ESET公司早在今年1月份就已经针对这种恶意软件进行了专门的检测更新，确保其用户能够免受此类威胁的侵害。这一举措显示了ESET在网络安全领域的快速响应能力以及对用户安全的高度责任感。这也提醒广大用户，定期更新防病毒软件是非常必要的，以确保自身设备的安全不受新型威胁的影响。