详细内容或原文请订阅后点击阅览
温柔地杀死我:绅士们的 EDR 杀手框架内部
ESET Research 分享了对 RaaS 团伙 Gentlemen 维护的 EDR 杀手套件进行长达数月的调查结果
来源:WeLiveSecurity _恶意软件ESET 研究人员分析了勒索软件即服务团伙 Gentlemen 强大的 EDR 查杀工具集。自 2026 年初以来,Gentlemen 已成为勒索软件生态系统中最活跃的团伙之一。该组织通过一套成熟的、由运营商维护的端点检测和响应 (EDR) 杀手(即用于破坏安全软件的工具)而脱颖而出。此外,与大多数顶级帮派不同,Gentlemen 并没有表现出强烈的以美国为中心的受害者观,而是针对东南亚、南美和西欧的受害者。
虽然近几个月来有多份报道涉及 Gentlemen,但他们并没有重点对该组织的 EDR 杀手进行详细分析。然而,由于 ESET 持续的事件级可见性,我们可以提供对 Gentlemen 的 EDR 杀手开发实践的独特深入了解。 2026 年 5 月 Gentlemen 遭遇的内部数据泄露事件让我们更加深入地了解了该组织的内部运作情况。
这次泄露还让我们证实了我们从 2026 年 2 月开始的假设,即 Gentlemen 运营商积极开发和维护他们向附属公司提供的 EDR 杀手产品组合,围绕我们命名为 GentleKiller 的内部框架。它们还包含第三方或泄露的工具,例如 HexKiller、ThrottleBlood 和 HavocKiller。这些工具通过共享的防御规避层进行标准化,使用虚假版本信息冒充主要的安全供应商,并复制合法的证书和图标。 Gentlemen 还表现出了异常快速地实施新披露的自带易受攻击的驱动程序 (BYOVD) 概念验证的能力,通常在公开发布后的几天内即可实现。
博文要点: