Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Операція Gentlemen ransomware-as-a-service підтримує розвинену колекцію вбивць Endpoint Detection and Response, призначених для відключення або послаблення засобів безпеки. Цей арсенал включає власну платформу GentleKiller групи, а також вбудовані сторонні утиліти, такі як HexKiller і HavocKiller. Оператори дотримуються послідовної моделі уникнення, заснованої на захисті бінарних файлів і підробці постачальників, щоб обійти оборонні засоби.
Розслідування
Дослідники ESET провели багатомісячне розслідування, підкріплене зливом даних у травні 2026 року, пов’язаним з групою Gentlemen. Їх аналіз пов’язав декілька інструментів відключення EDR з ширшим операційним робочим процесом банди і підтвердив наявність фреймворку GentleKiller. Дослідження також підтвердило, що група використовує техніки Bring Your Own Vulnerable Driver для отримання підвищених привілеїв і обходу захисту кінцевих точок.
Профілактика
Організації повинні впроваджувати суворий моніторинг завантаження драйверів для виявлення неавторизованих або вразливих установок драйверів, пов’язаних з діяльністю BYOVD. Зміцнення налаштувань кінцевих точок для блокування виконання непідписаних або неправильно підписаних драйверів є важливим. Команди безпеки також повинні стежити за підозрілими циклами вбивства процесів і незвичайними шляхами підготовки, такими як GentlemenCollection, що можуть дати ранній сигнал про підготовку атаки.
Відповідь
Якщо ця активність виявлена, респонденти повинні негайно ізолювати постраждалі кінцеві точки, щоб зупинити подальше зловживання на основі драйверів. Потрібно провести повний огляд системних сервісів і драйверів в режимі ядра, щоб знайти та видалити зловмисні або вразливі компоненти. Команди також повинні розслідувати можливе викрадення облікових даних шляхом аудиту доступу до даних браузера та перегляду несанкціонованих вихідних з’єднань з невідомих бінарних файлів на основі Rust.
"graph TB %% Class Definitions Section classDef tool fill:#cccccc classDef action fill:#99ccff classDef technique fill:#ff9999 %% Node Definitions for Phase 1: Defense Impairment tool_gentlekiller["<b>Інструмент</b>: GentleKiller<br/><b>Опис</b>: Власний фреймворк, що використовується для<br/>вимкнення засобів безпеки через привілеї рівня ядра."] class tool_gentlekiller tool tool_thirdparty["<b>Інструменти</b>: HexKiller, ThrottleBlood, HavocKiller<br/><b>Опис</b>: Сторонні інструменти для<br/>вимкнення засобів безпеки."] class tool_thirdparty tool action_byovd["<b>Дія</b>: Використання вразливого драйвера (BYOVD)<br/><b>Техніка</b>: T1543.004<br/><b>Опис</b>: Встановлення вразливих драйверів, таких як<br/>eb.sys, nseckrnl.sys або stpm_new.sys для<br/>отримання привілеїв рівня ядра."] class action_byovd technique action_terminate_edr["<b>Дія</b>: Завершення процесів безпеки<br/><b>Опис</b>: Вимкнення рішень EDR та антивірусів,<br/>включаючи ESET, Microsoft Defender та CrowdStrike."] class action_terminate_edr action %% Node Definitions for Phase 2: Stealth and Masquerading action_obfuscation["<b>Дія</b>: Захист бінарних файлів та маскування<br/><b>Техніка</b>: T1036.005<br/><b>Опис</b>: Використання Enigma або Themida для захисту бінарних файлів<br/>і застосування фальшивих версій, іконок,<br/>та недійсних цифрових підписів для імітації постачальників."] class action_obfuscation technique %% Node Definitions for Phase 3: Credential Access tool_oxideharvest["<b>Інструмент</b>: OxideHarvest<br/><b>Опис</b>: Викрадач облікових даних на базі Rust,<br/>цільовий на дані користувача веб-браузера."] class tool_oxideharvest tool action_credential_access["<b>Дія</b>: Відправлення облікових даних<br/><b>Техніка</b>: T1555<br/><b>Опис</b>: Доступ до облікових даних та їх відправлення з<br/>Google Chrome, Microsoft Edge та Mozilla Firefox."] class action_credential_access action %% Connections and Attack Flow tool_gentlekiller –>|виконує| action_byovd tool_thirdparty –>|виконує| action_byovd action_byovd –>|веде до| action_terminate_edr action_terminate_edr –>|активує| action_obfuscation action_obfuscation –>|сприяє| tool_oxideharvest tool_oxideharvest –>|виконує| action_credential_access "
Потік атаки
Виконання симуляції
Передумова: Контрольний перечень телеметрії та базових показників повинен був пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та оповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Оповідь атаки та команди: Супротивник намагається відключити місцевий агент EDR для полегшення подальшої пост-експлуатаційної діяльності. Щоб уникнути виявлення, вони використовують фреймворк “GentleKiller”, який був змінений для перейменування його виконуваного файлу на
acronis_agent.exe. Маскуючись під законну службу резервного копіювання, нападник сподівається злитися з фоном стандартних адміністративних процесів. Нападник виконує перейменований бінарний файл з прапором--helpдля перевірки його функціональності в поточному середовищі. -
Скрипт тестування регресії:
# Симуляція GentleKiller, що маскується під Acronis Agent $TargetDir = "$env:TEMPGentleKillerSim" New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null # Створіть фіктивний виконуваний файл для імітації зловмисного бінарного файлу $DummyExe = Join-Path $TargetDir "acronis_agent.exe" New-Item -ItemType File -Path $DummyExe -Force | Out-Null # У реальному сценарії це був би фактичний бінарний файл GentleKiller. # Для симуляції ми запускаємо логіку виявлення, викликавши процес # що відповідає шаблону імені файлу та командної стрічки. # Примітка: Оскільки ми не можемо запустити справжнього вбивцю EDR, використаємо cmd для імітації підпису телеметрії. Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden # Щоб забезпечити спрацювання правила виявлення (яке шукає конкретне ім'я зображення) # у справжній SIEM, телеметрія має показувати 'acronis_agent.exe' # у полі зображення. -
Команди очищення:
# Видаліть змодельовану зловмисну директорію та файли Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force