RONINGLOADER Uses Signed Drivers to Disable Microsoft Defender and Bypass EDR

Elastic Security Labs 揭露了一项复杂的攻击活动，该活动部署了一种新发现的加载程序，名为 RONINGLOADER。它利用合法签名的内核驱动程序，系统性地禁用 Microsoft Defender 并规避端点检测与响应工具。

此次活动被归因于 Dragon Breath APT 组织，展示了攻击复杂性的重大演变。该活动主要通过伪装成合法软件的特洛伊木马安装程序针对中文用户，这些软件包括 Google Chrome 和 Microsoft Teams。

该恶意软件采用复杂的多阶段交付机制，利用受保护进程轻量级滥用、自定义的 Windows Defender 应用程序控制策略以及内核模式驱动程序，来瘫痪中国市场流行的终端安全解决方案。这次活动标志着 Dragon Breath 在 2022 年至 2023 年间记录的活动取得了明显进步，展示了威胁行为者不断增长的技术能力和适应性。

RONINGLOADER 的发现紧随 2025 年 8 月一项详细说明滥用 PPL 关闭终端安全工具方法的研究。Elastic Security Labs 随后开发了行为检测规则，并通过遥测分析识别出在野外的主动利用情况。初始感染载体利用了 Nullsoft 脚本化安装系统，这是一个合法但经常被滥用的安装程序框架。恶意安装程序采用嵌套的 NSIS 架构，捆绑了合法软件和恶意负载，以在执行期间维持欺骗性。

多阶段规避架构

攻击链通过四个不同的阶段运作。第一阶段包含初始的特洛伊木马化安装程序，它会丢弃一个恶意 DLL 和加密的 shellcode。

磁盘上丢弃的文件。

在以提升的权限执行时，第二阶段执行侦察以识别正在运行的安全进程，并启动系统性地终止杀毒产品，包括 Microsoft Defender、金山毒霸、腾讯电脑管家、360 安全卫士和火绒安全。

RONINGLOADER 利用一个名为 ollama.sys 的签名内核驱动程序来从内核模式终止安全进程，该驱动程序由昆明物启电子商务有限公司签发，证书有效期至 2026 年 2 月。当被调用时，此函数从磁盘读取 tp.png 文件的内容，然后使用一个涉及右旋和异或操作的简单算法解密这些数据。

异或解密例程。

该驱动程序通过 IOCTL 请求按 PID 终止进程，绕过了用户模式进程保护。值得注意的是，Elastic 的研究人员发现了另外 71 个使用相同证书签名的二进制文件，这表明证书可能已泄露或被故意分发用于恶意目的。

驱动程序的数字签名。

该恶意软件在多个阶段实施了冗余的终止技术。除了基于驱动程序的进程终止外，RONINGLOADER 还部署了幽灵 DLL 侧加载、线程池注入技术和防火墙操纵，以将安全软件与网络通信隔离。最值得注意的是，它实施了一种专门针对 Microsoft Defender 的 PPL 滥用技术，利用 ClipUp.exe 用垃圾数据覆盖 MsMpEng.exe 二进制文件，从而即使在系统重启后也能有效禁用 Windows Defender。

部署了自定义的未签名 WDAC 策略，以明确阻止 360 安全卫士和火绒安全进程的执行，完全防止其运行。这种方法展示了对中国威胁环境中普遍存在的安全解决方案的战略性针对。

最终负载与持久化

第三和第四阶段协调将最终负载——一个修改版的开源 gh0st RAT——注入到受信任的系统进程中，包括 TrustedInstaller.exe 或 elevation_service.exe。然后，恶意软件会扫描一系列正在运行的进程以查找特定的杀毒解决方案。它会根据硬编码的进程名称列表进行检查，如果找到任何匹配项，则将相应的布尔标志设置为 “True”。

扫描特定进程。

该植入程序通过加密的 TCP 通道维持 C2 通信，并实现击键记录、剪贴板劫持和加密货币钱包监控功能。它明确跟踪 MetaMask 钱包交互和 Telegram 应用程序的使用情况，这表明受害者可能包括专注于加密货币和金融的目标。

RONINGLOADER 的发现代表了 APT 能力令人担忧的升级，特别是在滥用合法的 Windows 功能和签名驱动程序以瘫痪安全产品方面。在中国市场运营的组织面临来自此不断演变的威胁的更高风险。