本文介绍在ESET安全软件中发现的一个潜在白利用风险。通过清理垃圾文件和检查开机进程,作者注意到ESET自带的callmsi.exe文件,其功能类似于系统的msiexec.exe,可用于远程下载执行payload,存在被滥用为白利用的风险。
习惯每天早上开机后,清理一下垃圾文件,以及检查开机后的进程列表,清理完垃圾,我在CCleaner启动项管理功能下面,发现了一个ESET杀软的启动项
"C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide /proxy
感觉挺有意思,就查看该文件所在目录,结果一眼瞄到了一个callmsi.exe 的文件,运行后,和系统的msiexec.exe 功能一模一样。
msiexec.exe 最近经常被当作系统白利用来远程下载执行payload
而这个ESET杀软自带的callmsi.exe 其实就是个wrapper,包裹了一个创建进程的,并会调用系统的msiexec文件
看文件属性: ESET MSI Launcher
正规签名:
可被用来执行白利用~ 你懂的
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
