Gentlemen 勒索软件采用多款 EDR 终结者工具绕过企业防护

Gentlemen 勒索软件正在将“EDR 终结者”工具化、模块化，并以此作为 RaaS（勒索软件即服务）的核心武器之一。研究团队发现，该组织不仅自研名为 GentleKiller 的主力工具，还整合至少三款外部工具，共同构成一套多层次的防护绕过体系。这些工具通过“自带易受攻击驱动”（BYOVD）技术获取内核权限，进而关闭安全引擎、杀死防护进程，确保后续的数据窃取或加密流程不受干扰。对于企业而言，这意味着传统端点防护已无法单独依赖，必须同步强化网络检测、日志分析与驱动签名管控。

GentleKiller：组件化的 EDR 终结者框架

GentleKiller 是 Gentlemen 团队的核心武器，目前已演进出至少八个变体。这些变体并非独立开发的全新工具，而是在同一框架下通过替换驱动、调整字符串与混淆逻辑实现的“克隆体”。每个变体都模仿不同的合法软件名称与图标，例如 Kaspersky、Valorant、Javelin、WatchDog 等，以此降低用户与安全系统的警惕。更关键的是，这些变体内置的驱动均为已知易受攻击的组件，攻击者通过提权后可直接关闭目标系统上的安全引擎进程，或注入恶意代码。

研究显示，GentleKiller 框架的设计高度模块化：核心逻辑保持不变，但可快速“插入”新发现的易受攻击驱动，或针对特定防护产品调整目标进程列表。这意味着，当某个安全厂商发布补丁或新版本时，Gentlemen 只需替换驱动即可绕过新的防护机制，无需重写整个工具。此外，所有变体都采用 Enigma 与 Themida 等商业保护壳进行加固，并尝试使用窃取的数字签名（尽管签名已失效）进一步伪装。这些手段共同提升了检测难度，也为企业的溯源与响应增加了复杂性。

目标范围扩大：覆盖 48 家安全厂商的 400+ 进程

GentleKiller 的目标清单已覆盖超过 400 个与安全防护相关的进程，涉及约 48 家安全厂商的产品，包括 Microsoft、CrowdStrike、SentinelOne、Palo Alto、Sophos、Trend Micro、ESET、Bitdefender、McAfee/Trellix、Kaspersky 等主流品牌。这意味着，无论目标企业使用何种端点防护产品，Gentlemen 都有可能通过 GentleKiller 或其变体找到对应的“杀手锏”。在实际攻击中，攻击者通常会在初始入侵后立即部署 GentleKiller，以确保后续的横向移动、数据窃取或加密操作不被安全软件拦截。

这种广泛的目标覆盖也反映了勒索软件团伙对“通用绕过”的追求。传统上，不同的勒索软件家族会针对特定防护产品开发定制化的终结者工具，但 Gentlemen 的做法是构建一套“万能钥匙”，通过持续更新驱动与目标列表，确保在不同环境下都能保持有效性。对于安全团队来说，这意味着仅依靠单一厂商的端点防护已无法满足需求，必须采用多层防护策略，包括网络层检测、行为分析与实时响应。

外部工具的补充：冗余与复杂度提升

除了主力的 GentleKiller，研究团队还发现 Gentlemen 团伙整合了至少三款外部 EDR 终结者工具。这些工具可能来自其他勒索软件团伙的开源项目、地下社区或自研代码，被 Gentlemen 用于提升攻击的冗余性与复杂度。例如，其中一款名为 OxideHarvest 的工具采用 Rust 语言编写，专注于凭证窃取与权限提升，可与 EDR 终结者形成互补：先通过 OxideHarvest 获取管理员权限，再用 GentleKiller 关闭防护，最后进行横向移动与数据加密。

这种“工具组合”策略不仅增加了攻击的成功率，也为安全分析人员带来了更大的挑战。不同工具的开发者、编程语言与技术栈各异，导致溯源与对抗变得更加复杂。此外，Gentlemen 可能会根据目标环境的不同，选择不同的工具组合。例如，在某些企业中，GentleKiller 的某些变体可能因防护产品的更新而失效，此时攻击者会切换到外部工具或新的变体版本。这要求企业的安全团队不仅要关注已知的威胁指标（IOC），还要持续监控异常的权限提升、驱动加载与进程终止行为。

BYOVD 技术：从概念验证到大规模滥用

Gentlemen 团伙对 EDR 终结者工具的成功运用，离不开“自带易受攻击驱动”（Bring Your Own Vulnerable Driver, BYOVD）技术的成熟化。BYOVD 并非新概念，但近年来被勒索软件团伙广泛滥用，成为绕过现代安全防护的“标准动作”。攻击者通过加载已知存在漏洞的驱动（例如某些显卡、网卡或安全软件的驱动），以内核权限执行任意代码，进而关闭安全引擎、禁用日志记录或注入恶意模块。

在 GentleKiller 的案例中，每个变体都依赖不同的易受攻击驱动来实现提权。例如，某些变体可能利用某些显卡驱动的已知漏洞，而其他变体则针对特定安全软件的驱动。由于这些驱动通常已获得 Microsoft 的签名（尽管存在漏洞），攻击者可以绕过驱动签名检查机制，直接加载到内核。这暴露了现有驱动签名体系的漏洞：只要有一个合法签名的易受攻击驱动，攻击者就能以此为跳板进行后续攻击。

对企业的实用建议：分层防护与持续监控

面对 Gentlemen 勒索软件的 EDR 终结者工具，企业需要重新评估现有的防护策略。首先，端点防护产品（EDR/XDR）必须升级至最新版本，并启用实时保护与行为检测。由于 GentleKiller 会模仿合法进程名称与图标，传统的基于签名的检测已无法有效拦截，因此行为分析与异常进程监控成为关键。其次，企业应严格管控驱动加载行为，通过 Microsoft 的 Driver Signature Enforcement（DSE）增强模式、Hypervisor-Protected Code Integrity（HVCI）或第三方工具（如 Secure Boot、VBS）限制未经授权的驱动加载。

网络层面，企业应部署网络检测与响应（NDR）工具，通过流量异常、横向移动行为或异常的加密流量识别潜在的勒索软件活动。此外，日志收集与分析（如 SIEM、SOAR）也至关重要，特别是对 Windows 事件日志（如 4688 进程创建、4672 特权使用）的实时监控，可以帮助安全团队在 EDR 被关闭前发现异常。最后，企业应定期进行渗透测试与红队演练，模拟勒索软件团伙的攻击手法，识别防护体系中的薄弱环节。

溯源与威胁情报：从工具到团伙的关联分析

对于安全研究人员与威胁情报团队，GentleKiller 的出现提供了新的溯源线索。研究显示，所有变体共享相同的代码混淆技术、字符串结构与目标进程列表，这表明它们可能由同一团队或同一开发者维护。此外，Gentlemen 团伙还尝试使用窃取的数字签名，尽管这些签名已失效，但仍可作为情报分析的切入点。通过分析签名来源、混淆模式与目标选择，安全团队可以将 GentleKiller 与其他勒索软件家族（如 BlackCat、LockBit）进行关联，或识别出新的攻击组织。

威胁情报平台应将 GentleKiller 的 IOC（如文件哈希、C2 地址、进程名称）纳入黑名单，并持续更新。同时，企业应关注与 Gentlemen 相关的攻击活动，特别是那些涉及数据窃取与双重勒索的案例。由于勒索软件团伙通常会在攻击后公开部分数据以施压，企业在遭遇攻击后应立即启动事件响应流程，包括隔离受影响系统、收集证据与通知相关监管机构。

未来趋势：EDR 终结者工具的商业化与自动化

Gentlemen 勒索软件对 EDR 终结者工具的系统化运用，预示着勒索软件产业链的进一步专业化与自动化。随着更多易受攻击驱动的披露与商业化保护壳（如 Enigma、Themida）的普及，未来可能会出现更多“即插即用”的 EDR 终结者工具，甚至以服务（Killer-as-a-Service）的形式提供给其他勒索软件团伙。此外，攻击者可能会结合 AI 驱动的攻击自动化工具，实现更快的防护绕过与横向移动。

对于安全厂商而言，这意味着需要在端点防护之外，投入更多资源开发内核级防护、网络检测与 AI 驱动的异常行为分析。同时，监管机构也应加强对驱动签名体系的审查，推动厂商及时修复易受攻击的驱动，并建立更严格的驱动发布与更新流程。企业则需意识到，传统的“防火墙+杀毒+EDR”的三层防护已不足以应对现代勒索软件的复杂攻击，必须采用零信任架构、持续验证与自动化响应等现代化安全策略。

Gentlemen 勒索软件的 EDR 终结者工具不仅是一场技术对抗的升级，更是勒索软件产业链向专业化、模块化与自动化方向发展的缩影。面对这一趋势，企业与安全团队唯有通过持续的技术更新、流程优化与威胁情报共享，才能在攻防博弈中保持主动。