趋势科技发布报告称LOLBIN攻击技术可绕过ESET反病毒程序，该技术通过伪装成政府机构等发送钓鱼邮件，利用Windows 10/11预装的“微软应用程序虚拟化注入器”注入恶意代码到合法系统工具“waitfor.exe”中，从而逃避杀毒软件检测。被注入的恶意代码是经过修改的TONESHELL后门。ESET对此报告发表声明反驳，强调该技术并非新颖，且ESET技术已多年防范此类攻击，并在1月份就已针对该恶意软件添加了特定检测，用户目前受到保护。

🎣 LOLBIN攻击利用伪装的钓鱼邮件传播恶意附件“IRSetup.exe”，该附件会在受害者电脑上释放多个文件，包括恶意软件组件和迷惑用户的PDF文件。

🛡️ 攻击者利用Windows 10及更高版本预装的“微软应用程序虚拟化注入器（MAVInject.exe）”将恶意代码注入到合法的系统工具“waitfor.exe”进程中，由于“waitfor.exe”具有系统信任，因此可以逃避杀毒软件的检测。

🚨 被注入的恶意代码是经过修改的TONESHELL后门，该后门会连接到命令控制服务器，发送系统信息和受害者ID，并允许攻击者远程执行命令和操作文件。

✅ ESET反驳称早在1月份就已针对该恶意软件添加了特定检测，ESET用户目前受到保护，免受该恶意软件和技术的侵害。

IT之家 2 月 19 日消息，科技媒体 bleepingcomputer 昨日（2 月 18 日）发布博文，报道称安全公司趋势科技报告针对微软 Windows 10 和 Windows 11 系统的 LOLBIN 攻击技术，并在结论中提及“有效绕过 ESET 反病毒程序”，随后 ESET 发布声明反驳该观点。

LOLBIN 攻击技术简介

趋势科技报告称 LOLBIN 攻击可以追溯到 2022 年，已确认超过 200 名受害者，主要通过伪装成政府机构、非政府组织、智库或执法部门的钓鱼邮件进行攻击。

攻击邮件中包含名为“IRSetup.exe”的恶意附件。一旦受害者执行该附件，恶意程序会将多个文件释放到“C:\ProgramData\session”目录，包括合法的系统文件、恶意软件组件以及一个用于迷惑用户的 PDF 文件。

恶意程序检测到目标主机安装了 ESET 杀毒软件时，会利用 Windows 10 及更高版本预装的“微软应用程序虚拟化注入器（MAVInject.exe）”（一个合法的系统工具）进行攻击。

黑客会将恶意代码注入到“waitfor.exe”进程中。“waitfor.exe”是 Windows 系统中一个用于同步进程的合法工具，由于其具有系统信任，因此可以逃避杀毒软件的检测。

被注入的恶意代码是经过修改的 TONESHELL 后门，隐藏在一个名为“EACore.dll”的文件中。运行后，该后门会连接到位于“militarytccom:443”的命令控制服务器，发送系统信息和受害者 ID，并允许攻击者远程执行命令和操作文件。

ESET 反驳

IT之家援引博文，针对趋势科技的报告，ESET 发表声明表示不同意其“有效绕过 ESET 反病毒”的结论。ESET 强调，该技术并非新颖，且 ESET 技术已多年防范此类攻击。

ESET 声称早在 1 月份就已针对该恶意软件添加了特定检测，ESET 用户目前受到保护，免受该恶意软件和技术的侵害。