黑客圈里最近又炸锅了。ESET研究员Jakub Souček最新报告直接点名:目前野外活跃的EDR杀手工具已经达到54款,其中超过一半直接靠BYOVD(Bring Your Own Vulnerable Driver)手法,精准虐了34个带签名的漏洞驱动。这些玩意儿几乎成了勒索团伙标配前菜。
勒索软件团伙为什么这么爱用EDR杀手?原因简单粗暴。加密器本身动静太大,一口气改几万个文件,EDR稍微有点脑子就能报警。想让加密器保持干净、稳定、好迭代,杀手就成了外挂神器。先把防御干掉,再上正主。Reynolds勒索软件甚至把杀手和加密模块直接打包一个二进制,但主流还是分开干。
BYOVD这招本质就是借尸还魂。攻击者没法自己签恶意驱动,就找个微软信任的合法签名驱动——大多是硬件厂商或老杀软遗留版本——里面有已知提权漏洞。加载后直奔Ring 0,内核权限到手,EDR进程随便杀,回调随便改,防护直接瘫痪。整个过程利用的就是微软对签名驱动的盲目信任。
ESET这次扒出的54款里,来源分三类。第一类是封闭勒索团伙自研,比如DeadLock和Warlock这种不走affiliate路线的。第二类是拿公开PoC改吧改吧就上,比如SmilingKiller、TfSysMon-Killer这种fork货。第三类最嚣张,直接在地下市场当服务卖,DemoKiller(又叫Бафомет)、ABYSSWORKER、CardSpaceKiller全是典型代表,买家拿来即用。
除了BYOVD,还有几路偏门玩法。部分工具纯脚本党,用taskkill、net stop、sc delete这些管理员命令硬怼EDR进程和服务。有些变种更狠,结合Windows安全模式重启。因为安全模式只加载最基本组件,很多安全软件压根不启动,防御直接蒸发。可惜这招太吵,重启等于自曝,实战中很少见。
还有一类伪装成反rootkit的合法工具,比如GMER、HRSword、PC Hunter,本来是给白帽子查毒用的,结果黑产拿去杀受保护进程,界面友好到离谱。
最新趋势更有意思。出现了无驱动EDR杀手,比如EDRSilencer和EDR-Freeze,直接掐EDR出站流量,让程序进入“植物人”状态。省去了加载驱动的风险,隐蔽性直接拉满。
ESET直言,现在攻击者压根不费劲让加密器免杀。真正下功夫的全在EDR杀手上,尤其是商用杀手,防分析、防检测能力已经非常成熟。加密器保持简单就好,杀手才是真正的高端局。
防御端怎么办?光封禁常见滥用驱动远远不够。杀手通常是攻击链最后一步,拦不住就前功尽弃。团伙手里备胎工具多到离谱,一款被封立马换下一款。唯一靠谱办法是多层防御,从初始访问到横移、提权、驻留,每一环都得有检测和阻断能力。
现实很残酷。EDR杀手之所以经久不衰,就因为它便宜、稳定、和加密器完全解耦。对加密器开发者来说,不用操心免杀;对affiliate来说,手里拿着傻瓜式神器就能瘫掉防御。双赢局面下,这东西只会越滚越多。
当前市场情绪低迷,BTC现报$70,308(24h -1.24%),ETH现报$2,145(24h -2.19%),但安全赛道的生意只会越来越火。勒索团伙不差钱,EDR厂商和企业却得不停烧钱补窟窿。这场猫鼠游戏,短期内看不到尽头。