勒索软件攻击者在启动加密器之前经常部署旨在禁用端点检测和响应软件的工具。这些工具被称为EDR杀手,已成为勒索软件入侵的标准组成部分。ESET Research追踪了近90个在野外积极使用的EDR杀手。
工作流程在各个组之间是一致的:攻击者获得高特权,部署EDR杀手来破坏安全软件,然后运行加密器。附属公司更喜欢这种方法,因为它为他们提供了一个简短、可靠的窗口来完成加密,而无需不断修改有效负载以逃避检测。
附属公司选择工具,运营商提供加密器
在勒索软件即服务操作中,运营商通常提供加密器和支持基础设施。EDR杀手选择属于附属公司。据ESET研究员Jakub Souček称,其结果是,更大的附属池在EDR杀手工具中产生了更大的多样性。
这种分工也意味着捍卫者将面临来自单个勒索软件品牌的更广泛工具,这取决于哪个附属公司进行了给定的攻击。
帶上你自己的弱勢司機占主導地位,替代方案正在取得進展
自带易受易受的司机技术仍然是最常见的方法。攻击者将一个合法但易受攻击的驱动程序丢弃在受害机器上,安装它,然后运行恶意软件,利用驱动程序的漏洞以获得内核级别的访问权限。该技术可靠,有广泛记录,并且需要相对较少的开发努力。
一个较小且不断增长的EDR杀伤者类别在不接触内核的情况下取得了类似的结果。这些工具干扰EDR通信或暂停进程,完全绕过了利用驱动程序的需要。
最简单的EDR杀手依赖于内置的管理工具和命令,根本不需要专门的驱动程序或内核访问。
阻止弱势司机是必要的,但还不够
防止脆弱的司机装载是一个重要的防御步骤,尽管存在几种旁路技术。实际含义是,组织在有机会首先加载驱动程序之前,需要能够破坏EDR杀手的控制措施。
人工智慧輔助發展正在進入畫面
根据ESET的评估,至少最近观察到的一些EDR杀手显示出人工智能辅助代码生成的迹象。没有明确的取证标记可以可靠地区分人工智能生成的代码和人类编写的代码,特别是当攻击者混淆或后处理其输出时。
一个具体的例子来自Warlock勒索软件团伙部署的工具。该工具包括一个代码部分,该部分打印了可能的修复列表,这是一个与人工智能生成的样板相关的模式。它还实施了一个试错机制,该机制循环运行几个不相关的、通常被滥用的设备名称,直到找到一个在目标系统上运行的设备名称,而不是利用单个特定驱动程序。
Souček指出,氛围编码使跟踪和归因的威胁格局变得更加复杂。
勒索软件入侵需要不同的防御方法
一旦安全解决方案中和了网络钓鱼活动和商品恶意软件,它们就会停止。勒索软件入侵不遵循这种模式。它们是互动式、人为驱动的操作,攻击者不断适应检测、工具故障和环境条件。
這種區別對於防守者如何優先考慮資源和設計檢測策略很重要。特别是EDR杀手活动需要在特权升级和驱动程序安装阶段进行主动监控,在部署加密器之前。
原文链接地址:https://www.helpnetsecurity.com/2026/03/19/edr-killer-ransomware-attacks/
