黑客利用ESET病毒扫描程序漏洞部署恶意软件且绕过ESET检测

ESET 也是计算机领域的知名安全软件，不过 ESET 的竞争对手卡巴斯基实验室发现 ESET 命令行扫描程序存在严重安全漏洞，黑客利用该漏洞部署名为 TCESB 的后门程序并且不会被 ESET 检测到。

该漏洞编号为 CVE-2024-11859，攻击者利用 ESET 命令行扫描程序的加载方式劫持系统组件库的加载过程，由于扫描程序不会从系统目录中检索正常的库，而是首先查找其当前所在的目录，这构成了典型的 “自带易受攻击的驱动程序” 攻击手法。

发起攻击的黑客组织被命名为 ToddyCat，该高级持续性威胁组织 (APT) 首次是在 2021 年被发现，攻击目标主要是高价值用户群，例如政府机构、军事组织以及某些关键基础设施，攻击目标主要在亚洲和欧洲。

具体的利用手法则是黑客将恶意动态链接库 version.dll 放在 ESET 命令行扫描程序所在的目录中，这迫使 ESET 端点保护工具运行自定义恶意软件从而绕过标准的安全检测机制，这种行为或许也在完全诠释什么叫做灯下黑。

卡巴斯基实验室表示黑客部署的后门程序 TCESB 是名为 EDRSandBlast 开源工具的修改版本，这个开源工具可以改变操作系统内核结构和禁用回调相关的功能，黑客应该是利用修改后的版本实现某些特定操作以便能够继续进行其他恶意操作。

ESET 接到卡巴斯基的通报后在 2025 年 1 月发布更新修复这枚漏洞，基于安全考虑卡巴斯基并未第一时间披露漏洞细节，当前大多数企业应该已经完成升级，所以卡巴斯基才披露漏洞细节。

卡巴斯基实验室表示：为了检测此类工具的活动，建议持续监控系统里涉及到已知漏洞驱动程序的安装事件，同时还值得监控与不需要调试操作系统内核的设备上加载 Windows NT 内核调试符号相关的事件，这类事件可能存在恶意因此应当关注。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/