對於許多初入行的資安工程師來說,可能會認為只要安裝了 EDR(Endpoint Detection and Response,端點偵測與回應系統)就能有效攔截勒索軟體。然而,現實中的攻擊者會採取一種稱為 EDR Killer 的策略,在正式部署加密程式之前,先將系統的防禦機制徹底關閉。近期被揭露的 The Gentlemen 勒索軟體集團,正是透過一套高度模組化的框架 GentleKiller 來達成此目的。
理解 BYOVD 攻擊技術
要理解 GentleKiller 如何運作,首先必須認識 BYOVD(Bring Your Own Vulnerable Driver)。在 Windows 系統中,驅動程式運行在核心模式(Kernel Mode),擁有極高的權限。正常情況下,系統只允許經過數位簽章的合法驅動程式載入,以防止惡意程式直接控制核心。
BYOVD 的核心邏輯是:攻擊者並不嘗試編寫一個會被偵測到的惡意驅動程式,而是從合法廠商(如遊戲反作弊軟體、硬體診斷工具)中尋找具有已知漏洞的舊版驅動程式。因為這些驅動程式擁有合法的數位簽章,系統會允許它們載入。一旦載入,攻擊者便利用該驅動程式內建的漏洞,獲取核心權限,進而強行終止 EDR 的安全進程或修改系統記憶體。
GentleKiller 的運作機制與特點
The Gentlemen 集團開發的 GentleKiller 並非單一工具,而是一個標準化的框架。它最危險的地方在於其高度的偽裝能力與快速迭代。
首先是偽裝層。GentleKiller 會模仿知名安全廠商的產品,偽造版本資訊、複製合法圖示,甚至使用盜用或偽造的數位簽章,讓管理員在工作管理員中看到這些進程時,誤以為是正常的安全軟體在運行。
其次是精準打擊。該框架內建了一份龐大的清單,涵蓋了 48 個不同廠商、約 400 個安全相關的進程。這意味著無論目標公司使用的是哪一家 EDR 產品,GentleKiller 都能快速定位並將其關閉。
最後是模組化設計。該框架提供多個變體,每個變體對應不同的漏洞驅動程式。例如利用 PoisonX.sys 或 nseckrnl.sys 等驅動程式來繞過防禦。這種設計讓攻擊者在新的漏洞 PoC(Proof of Concept,概念驗證程式碼)公開後,能在短短幾天內將其整合進工具集。
RaaS 商業模式下的技術賦能
The Gentlemen 採取的是 RaaS(Ransomware-as-a-Service,勒索軟體即服務)模式。在一般的 RaaS 運作中,開發者提供加密程式,而實際執行攻擊的加盟商(Affiliates)需要自行尋找繞過 EDR 的方法。
但 The Gentlemen 選擇將 EDR Killer 功能集中化,直接提供一套標準化的工具包給加盟商。這大幅降低了攻擊門檻,讓技術能力較低的犯罪分子也能輕鬆癱瘓目標系統的防禦,從而提高攻擊成功率。
除了 EDR Killer,該集團還部署了名為 OxideHarvest 的 Rust 語言編寫的憑證竊取工具,能從 Chrome、Edge、Firefox 等主流瀏覽器中提取敏感資料,為後續的橫向移動提供便利。
防禦建議與實務影響
面對 BYOVD 類型的攻擊,傳統的黑名單偵測往往失效,因為攻擊者使用的是合法簽名的驅動程式。工程師應採取以下防禦措施:
第一,啟用 Windows 的驅動程式強制簽署與封鎖清單。定期更新 UEFI 的 DBX(Forbidden Signature Database,禁用簽名資料庫),撤銷對已知漏洞驅動程式簽名的信任,從根源阻止其載入。
第二,監控異常的核心權限操作。關注非預期的驅動程式載入事件,以及安全進程被異常終止的紀錄。
第三,實施最小權限原則。BYOVD 攻擊通常需要管理員權限才能載入驅動程式。限制使用者權限可有效增加攻擊者的操作難度。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。