Cisco Talos和Trend Micro的研究显示,Qilin攻击会投放名为msimg32.dll的恶意DLL文件,通过DLL侧加载启动多阶段感染链条,直接针对市面几乎所有安全厂商的EDR解决方案下手。这个DLL先运行PE加载器,准备EDR杀手组件的环境,加载器里嵌入了加密的二级载荷。它抹掉用户模式钩子,压制Windows事件跟踪(ETW)日志,还隐藏控制流和API调用模式,让主载荷在内存中解密执行,完全避开雷达。载荷启动后调用两个驱动:rwdrv.sys,是ThrottleStop.sys的重命名版,用来访问系统物理内存,当内核硬件访问层;hlpdrv.sys则专门终止关联超过300个不同EDR驱动的进程。这些驱动之前还出现在Akira和Makop勒索软件攻击中。Talos研究员指出,在加载第二个驱动前,EDR杀手先注销EDR设置的监控回调,确保进程终止不受干扰。Qilin团伙靠偷来的凭证初次入侵,之后花大力气搞后渗透活动,平均六天后才执行勒索软件。链上数据显示,日本2025年报告的134起勒索事件中,Qilin关联22起,占比16.4%。CYFIRMA和Cynet统计,Qilin最近几个月最活跃,已宣称数百受害者。BTC现报$69,750(24h +4.16%),加密市场交易火热,安全防护却成软肋。
Warlock团伙也升级工具链,继续钻Microsoft SharePoint服务器未打补丁的空子,用TightVNC保持持久控制,换掉之前googleApiUtil64.sys,转而用合法但漏洞百出的NSecKrnl.sys驱动,在内核级终止安全产品。1月2026年一次Warlock攻击中,还看到PsExec用于横向移动,RDP Patcher开启并发RDP会话,Velociraptor管C2,Visual Studio Code加Cloudflare Tunnel打隧道,Yuze搞内网渗透建反向代理走HTTP 80、HTTPS 443和DNS 53端口,Rclone负责数据外泄。Trend Micro强调,Warlock这么依赖漏洞驱动,需要多层防御,专注内核完整性,从基础端点保护升级到严格驱动治理和实时内核监控。企业得只准信任发布者的签名驱动,盯紧驱动安装事件,坚持补丁管理,尤其是驱动组件的安全软件。整个BYOVD套路让现代EDR防护失效,攻击者轻松扩展控制,最大化破坏。ETH现报$2,154(24h +5.39%),币圈资金涌动,勒索团伙盯上高价值目标,企业防护跟不上就等着被薅羊毛。
防御BYOVD,得从源头卡住。组织要监控所有驱动加载,优先用白名单机制,只让可信签名通过。实时追踪内核活动,及早发现异常进程终止。打补丁别拖,SharePoint这类入口修好,就能堵住Warlock的路。Qilin那种六天潜伏期,考验企业检测速度,早发现早断链。Talos直言,Qilin重后渗透,就是为了深挖价值。整个行业得警醒,这些团伙工具越玩越溜,EDR不是万能钥匙,得层层叠加。币市热闹,BTC站稳$69,750,但网络战无硝烟,企业安全疏忽,损失比币价波动狠多了。