フォローする 
概要
ジェントルメンのランサムウェア・アズ・ア・サービス(RaaS)オペレーションは、セキュリティ製品を無効化または弱体化させることを意図した高度なエンドポイント検出と応答(EDR)キラーのコレクションを保持しています。この武器庫には、グループ独自のGentleKillerフレームワークに加えて、HexKillerやHavocKillerといったサードパーティのユーティリティが含まれています。オペレーターはバイナリ保護とベンダー模倣を中心とした一貫した回避モデルに従い、防御をかいくぐります。
調査
ESETの研究者は数ヶ月にわたる調査を実施し、これは2026年5月にジェントルメン・グループに関連するデータ漏洩によって強化されました。彼らの分析は、いくつかのEDR無効化ツールがギャングの広範なオペレーションフローに関連していることを確認し、GentleKillerフレームワークの存在を検証しました。また、このグループがBYOVD(Bring Your Own Vulnerable Driver)技術を利用して特権を得てエンドポイント防御を回避していることを確認しました。
緩和策
組織は、ドライバのロードに対する強力な監視を導入し、BYOVDアクティビティに関連する不正または脆弱なドライバインストールを特定すべきです。署名されていない、または不適切に署名されたドライバの実行を防ぐために、エンドポイントの設定を強化することが不可欠です。セキュリティチームは、異常なプロセスキリングのループや GentlemenCollectionのような不審なステージングパスも警戒し、攻撃準備の初期信号を提供する可能性があります。
対応策
この活動が検出された場合、対応者は、さらなるドライバベースの悪用を防ぐために、影響を受けたエンドポイントを直ちに隔離すべきです。システムサービスとカーネルモードドライバの完全なレビューを行い、悪意のあるまたは脆弱なコンポーネントを見つけて削除する必要があります。チームはまた、ブラウザデータアクセスを監査し、権限のないアウトバウンド接続を確認することで、資格情報の盗難の可能性を調査すべきです。
"graph TB %% Class Definitions Section classDef tool fill:#cccccc classDef action fill:#99ccff classDef technique fill:#ff9999 %% Node Definitions for Phase 1: Defense Impairment tool_gentlekiller["<b>ツール</b>: GentleKiller<br/><b>説明</b>: カーネルレベルの特権を通じてセキュリティソフトウェアを妨害するための社内フレームワーク。"] class tool_gentlekiller tool tool_thirdparty["<b>ツール</b>: HexKiller、ThrottleBlood、HavocKiller<br/><b>説明</b>: セキュリティソフトウェアの終了に使用されるサードパーティのツール。"] class tool_thirdparty tool action_byovd["<b>アクション</b>: 自分の脆弱なドライバを持ち込む (BYOVD)<br/><b>技術</b>: T1543.004<br/><b>説明</b>: eb.sys、nseckrnl.sys、stpm_new.sys などの脆弱なドライバをインストールしてカーネルレベルの特権を得る。"] class action_byovd technique action_terminate_edr["<b>アクション</b>: セキュリティプロセスの終了<br/><b>説明</b>: EDRおよびアンチウイルスソリューション(ESET、Microsoft Defender、CrowdStrikeを含む)の妨害。"] class action_terminate_edr action %% Node Definitions for Phase 2: Stealth and Masquerading action_obfuscation["<b>アクション</b>: バイナリ保護と偽装<br/><b>技術</b>: T1036.005<br/><b>説明</b>: EnigmaまたはThemidaを使用してバイナリを保護し、偽のバージョン情報、アイコン、および無効なデジタル署名を適用することでベンダーを模倣。"] class action_obfuscation technique %% Node Definitions for Phase 3: Credential Access tool_oxideharvest["<b>ツール</b>: OxideHarvest<br/><b>説明</b>: ウェブブラウザのユーザーデータを標的にしたRustベースの資格情報盗難ツール。"] class tool_oxideharvest tool action_credential_access["<b>アクション</b>: 資格情報の流出<br/><b>技術</b>: T1555<br/><b>説明</b>: Google Chrome、Microsoft Edge、Mozilla Firefox からの資格情報のアクセスと流出。"] class action_credential_access action %% Connections and Attack Flow tool_gentlekiller –>|executes| action_byovd tool_thirdparty –>|executes| action_byovd action_byovd –>|leads_to| action_terminate_edr action_terminate_edr –>|enables| action_obfuscation action_obfuscation –>|facilitates| tool_oxideharvest tool_oxideharvest –>|performs| action_credential_access "
アタックフロー
シミュレーション実行
前提条件: テレメトリーとベースラインの事前チェックが完了していること。
根拠: このセクションは、検出ルールをトリガーするために設計された敵の手法 (TTP) の正確な実行を詳細に説明します。コマンドとナラティブは特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃のナラティブとコマンド: 敵は、さらなるエクスプロイトの活動を容易にするためにローカルのEDRエージェントを無効化しようとします。検出を回避するために、実行ファイルの名前を変更した “GentleKiller” フレームワークを利用します
acronis_agent.exe。正当なバックアップサービスとして偽装し、標準の管理プロセスのノイズに溶け込むことを狙っています。攻撃者はリネームされたバイナリを実行し、その--helpフラグを使用して現在の環境での機能をテストします。 -
リグレッションテストスクリプト:
# Acronisエージェントとして偽装するGentleKillerのシミュレーション $TargetDir = "$env:TEMPGentleKillerSim" New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null # 悪意のあるバイナリをシミュレートするためにダミーの実行可能ファイルを作成 $DummyExe = Join-Path $TargetDir "acronis_agent.exe" New-Item -ItemType File -Path $DummyExe -Force | Out-Null # 実際のシナリオでは、これは実際のGentleKillerバイナリになります。 # シミュレーションでは、検出ロジックをトリガーするためにプロセス # を呼び出してファイル名とコマンドラインパターンに一致させます。 # 注意: 実際のEDRキラーを実行できないので、cmdを使って # テレメトリーシグネチャをシミュレートします。 Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden # 実際のSIEMで検出ルール(特定のイメージ名を検索するもの)が # 実行されるようにするために、テレメトリーには 'acronis_agent.exe' # がImageフィールドに表示されなければなりません。 -
クリーンアップコマンド:
# シミュレートされた悪意のあるディレクトリとファイルを削除 Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force