趨勢科技研究人員指出,新興勒索軟體集團「
Gentlemen」正在利用漏洞驅動程式及其他技術來突破企業的資安防護產品。該集團於今年夏季首次現身,其特點是能有效逃避偵測並成功關閉目標網路中的資安產品。
趨勢科技發現,此勒索軟體
利用 ThrottleStop.sys 這個合法但存在漏洞的驅動程式,中斷防毒軟體及其他資安產品,如端點偵測與回應(EDR)運作。這是典型的自帶有漏洞驅動程式攻擊(BYOVD),攻擊者透過此手法取得驅動程式的核心級權限,進而控制或關閉原本應受保護的安全程序。
過去一年來,BYOVD 攻擊已被多個勒索軟體集團廣泛採用,因此這個新興團體使用此策略來繞過偵測機制並不令人意外。不過,趨勢科技研究人員指出,Gentlemen 運用這些戰術的方式特別值得關注。該集團已從單純的機會主義攻擊演變為使用客製化工具,並針對特定資安廠商開發專門的繞過機制。
延伸閱讀:BYOVD 攻擊手法提升權限!微軟示警 Paragon Partition Manager 零日漏洞
研究團隊在部落格文章中指出,這個駭客集團透過系統性入侵企業環境展現其進階能力,迅速在威脅領域中確立地位。攻擊者不斷調整其工具,從通用型防毒軟體清除工具進化為高度針對性的特定變種,顯示出極佳的靈活性和決心。無論組織的資安防護有多完善,都將面臨此重大威脅。
癱瘓資安產品的核心手法
「Gentlemen」勒索軟體逃避偵測的核心手法是利用 CVE-2025-7771 漏洞,這是存在於 ThrottleStop 工具中的高風險程式碼執行及權限提升弱點。
ThrottleStop 原本是一款用於監控 CPU 降頻及效能問題的免費工具。卡巴斯基實驗室(Kaspersky Lab)研究人員在調查巴西近期勒索軟體事件時發現了此漏洞。在該事件中,駭客將驅動程式重新命名為 ThrottleBlood.sys,用來關閉目標系統的安全防護。不過,目前尚未確認此攻擊使用的具體勒索軟體類型。
趨勢科技研究人員表示,Gentlemen 勒索軟體最初部署了 ThrottleBlood.sys 驅動程式,並搭配名為 All.exe 的工具,這是專門用於終止防毒軟體的程式(卡巴斯基研究人員在其事件應變調查中也發現了相同工具)。研究團隊指出,當勒索軟體執行這個反防毒工具時,會搜尋 ThrottleBlood.sys 檔案,因為此檔名已被硬編碼在工具中作為依賴關係。
若反防毒工具無法在預期位置找到「ThrottleBlood.sys」,攻擊會失敗,無法執行後續惡意操作。但當成功定位並載入此驅動程式時,它便能利用其漏洞執行核心層級操作。這讓惡意工具得以終止資安軟體、停用防護服務,為勒索軟體掃清障礙,使其能夠在無干擾的環境中加密檔案。
使用合法且經簽署的驅動程式為企業防禦帶來嚴峻挑戰。
研究團隊指出,ThrottleBlood.sys 與原始的 ThrottleStop.sys 實際上是完全相同的檔案,兩者共享同一個 DigiCert 數位憑證。因此,即使檔案名稱不同,Windows 的驅動程式簽章驗證也無法提供保護,因為系統將兩者都視為合法驅動程式。
轉變攻擊策略
Gentlemen 勒索軟體集團已捨棄廣泛撒網的策略,轉而對目標組織的端點防護進行深入偵察。這種轉變使他們能採取更精準的客製化方法來繞過資安產品。
攻擊者還利用 PowerRun.exe 這款經常被駭客濫用的合法工具,來提升權限、執行高權限操作,並停用或繞過資安產品。
攻擊過程中,該集團展現高度針對性的策略,會依據目標環境中的特定資安解決方案來調整其技術,而非單純依賴通用的繞過手法。
該組織還採用了 Allpatch2.exe,這是防毒殺手工具的客製化版本,專門透過終止相關程序來停用關鍵資安代理元件。此工具能根據受害環境的防禦機制靈活調整規避策略,展現駭客集團的高度技術成熟度與適應能力。
為防禦「Gentlemen」勒索軟體,趨勢科技
建議採取零信任安全架構,因該駭客集團經常利用含漏洞的網際網路面向基礎設施和 VPN 發動攻擊。研究團隊指出,由於 ThrottleBlood.sys 本質上是合法驅動程式,組織應將偵測重點放在 All.exe 和 Allpatch2.exe 等惡意工具上。然而,研究人員也提醒,攻擊者常會重新命名這些檔案以逃避偵測。
研究團隊進一步建議,網路管理員應著重監控異常的處理程序組合,尤其是驅動程式與不明或可疑執行檔同時載入的情況,而非僅依靠檔名來阻擋有問題的驅動程式。
本文轉載自 DarkReading。