EDR杀手工具的技术剖析
在当今多阶段攻击中,禁用终端安全解决方案已成为关键步骤。自2022年起,我们发现用于禁用EDR系统的恶意软件复杂度显著提升。这些工具部分由勒索团伙自行开发,部分通过地下市场购买——Black Basta组织的聊天记录泄露事件证实了这一点。
AVKiller技术架构
我们重点分析了HeartCrypt打包样本中的AV杀手工具,其具有五大技术特征:
- 采用多层代码保护机制
- 动态加载5字母随机命名的驱动文件
- 使用泄露证书进行驱动签名
- 针对多安全厂商的精确打击
- 样本间存在目标列表差异
典型攻击流程如下:
- 通过合法软件(如Beyond Compare)侧加载恶意负载
- 在入口点附近注入加载器代码
- 将恶意负载作为资源嵌入
- 运行时自解码执行
驱动签名滥用技术
攻击者使用两家中国公司的泄露证书:
- 长沙恒翔信息技术有限公司(证书已于2016年吊销)
- 福州鼎鑫贸易有限公司(证书2012年失效)
驱动文件(如mraml.sys)伪造成CrowdStrike Falcon传感器驱动,实际功能包括:
- 终止安全产品进程(MsMpEng.exe/SophosHealth.exe等)
- 卸载安全服务
- 创建持久化服务(服务名与驱动文件关联)
勒索软件联动案例
我们观察到EDR杀手与以下勒索家族的组合攻击:
- MedusaLocker:疑似利用SimpleHelp的0day RCE漏洞
- INC勒索软件:采用双层打包技术(含VB2024会议披露的打包器变种)
- RansomHub:典型攻击链:
- HeartCrypt打包投放 → EDR杀手执行 → 驱动加载 → 勒索软件部署
威胁情报共享网络
研究发现不同勒索组织(RansomHub/Qilin/DragonForce/INC)存在技术资产共享:
- 各组织使用不同编译版本的专有工具
- 统一采用HeartCrypt打包即服务
- 技术知识通过特定渠道传播
这种协作模式表明勒索生态已形成复杂的技术共享网络,而非简单的竞争关系。相关IOC指标已发布在GitHub仓库。