Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Gentlemen Ransomware-as-a-Service-Betrieb pflegt eine fortschrittliche Sammlung von Endpoint Detection and Response Killern, die darauf abzielen, Sicherheitsprodukte zu deaktivieren oder zu schwächen. Dieses Arsenal umfasst das hauseigene GentleKiller-Framework der Gruppe sowie integrierte Drittanbieter-Utilities wie HexKiller und HavocKiller. Die Betreiber folgen einem konsistenten Umgehungsmodell, das auf Binärschutz und Anbieterimitation basiert, um an Verteidigungsmaßnahmen vorbeizukommen.
Untersuchung
ESET-Forscher führten eine mehrmonatige Untersuchung durch, die durch ein Datenleck im Mai 2026, das mit der Gentlemen-Gruppe in Verbindung stand, verstärkt wurde. Ihre Analyse verband mehrere EDR-Deaktivierungswerkzeuge mit dem breiteren operativen Workflow der Bande und bestätigte das Vorhandensein des GentleKiller-Frameworks. Die Forschung bestätigte auch, dass die Gruppe auf Techniken zum Mitbringen eigener anfälliger Treiber setzt, um erhöhte Privilegien zu erlangen und Endpunktverteidigungen zu umgehen.
Minderung
Organisationen sollten ein starkes Monitoring für Treiberladungen implementieren, um nicht autorisierte oder anfällige Treiberinstallationen zu erkennen, die mit BYOVD-Aktivitäten verbunden sind. Die Härtung der Endpunkteeinstellungen, um die Ausführung von unsignierten oder unsachgemäß signierten Treibern zu blockieren, ist essenziell. Sicherheitsteams sollten auch auf verdächtige Prozess-Abschleifen und ungewöhnliche Bereitstellungspfade wie GentlemenCollectionachten, die ein frühes Signal für die Angriffsvorbereitung liefern können.
Reaktion
Wird diese Aktivität erkannt, sollten Reaktionsteams die betroffenen Endpunkte sofort isolieren, um weiteren missbräuchlichen Treibereinsatz zu stoppen. Eine vollständige Überprüfung der Systemdienste und Kernel-Modus-Treiber sollte durchgeführt werden, um bösartige oder anfällige Komponenten zu lokalisieren und zu entfernen. Teams sollten auch auf möglichen Anmeldedatendiebstahl untersuchen, indem sie den Zugriff auf Browserdaten auditieren und unautorisierte ausgehende Verbindungen von unbekannten Rust-basierten Binärdateien überprüfen.
"graph TB %% Class Definitions Section classDef tool fill:#cccccc classDef action fill:#99ccff classDef technique fill:#ff9999 %% Node Definitions for Phase 1: Defense Impairment tool_gentlekiller["<b>Tool</b>: GentleKiller<br/><b>Beschreibung</b>: Eigenes Framework zur<br/>Störung von Sicherheitssoftware auf Kernel-Ebene."] class tool_gentlekiller tool tool_thirdparty["<b>Tools</b>: HexKiller, ThrottleBlood, HavocKiller<br/><b>Beschreibung</b>: Drittanbieter-Tools zur<br/>Beendigung von Sicherheitssoftware."] class tool_thirdparty tool action_byovd["<b>Aktion</b>: Bring Your Own Vulnerable Driver (BYOVD)<br/><b>Technik</b>: T1543.004<br/><b>Beschreibung</b>: Installation anfälliger Treiber wie<br/>eb.sys, nseckrnl.sys oder stpm_new.sys um<br/>Kernel-Rechte zu erlangen."] class action_byovd technique action_terminate_edr["<b>Aktion</b>: Sicherheitsprozesse beenden<br/><b>Beschreibung</b>: Störung von EDR und Antiviruslösungen<br/>einschließlich ESET, Microsoft Defender und CrowdStrike."] class action_terminate_edr action %% Node Definitions for Phase 2: Stealth and Masquerading action_obfuscation["<b>Aktion</b>: Binärschutz und Imitation<br/><b>Technik</b>: T1036.005<br/><b>Beschreibung</b>: Nutzen von Enigma oder Themida zum Schutz von Binärdateien<br/>und zur Anwendung von gefälschten Versionsinfos, Icons und<br/>ungültigen digitalen Signaturen zur Imitation von Anbietern."] class action_obfuscation technique %% Node Definitions for Phase 3: Credential Access tool_oxideharvest["<b>Tool</b>: OxideHarvest<br/><b>Beschreibung</b>: Rust-basierter Credential-Stealer, der auf<br/>Benutzerdaten von Webbrowsern abzielt."] class tool_oxideharvest tool action_credential_access["<b>Aktion</b>: Anmeldedatenexfiltration<br/><b>Technik</b>: T1555<br/><b>Beschreibung</b>: Zugriff und Exfiltration von Anmeldedaten aus<br/>Google Chrome, Microsoft Edge und Mozilla Firefox."] class action_credential_access action %% Connections and Attack Flow tool_gentlekiller –>|führt aus| action_byovd tool_thirdparty –>|führt aus| action_byovd action_byovd –>|führt zu| action_terminate_edr action_terminate_edr –>|ermöglicht| action_obfuscation action_obfuscation –>|erleichtert| tool_oxideharvest tool_oxideharvest –>|führt aus| action_credential_access "
Angriffsfluss
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Vorabcheck muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel dient. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer beabsichtigt, den lokalen EDR-Agenten zu deaktivieren, um weitere nachträgliche Ausbeutungsaktivitäten zu erleichtern. Um einer Erkennung zu entgehen, verwenden sie das „GentleKiller“-Framework, das modifiziert wurde, um seine ausführbare Datei in
acronis_agent.exeumzubenennen. Durch die Imitation eines legitimen Backup-Dienstes hofft der Angreifer, sich im Lärm der regulären administrativen Prozesse zu verstecken. Der Angreifer führt das umbenannte Binärprogramm mit dem--helpFlag aus, um seine Funktionalität in der aktuellen Umgebung zu testen. -
Regressionstest-Skript:
# Simulation des GentleKiller als Acronis-Agent $TargetDir = "$env:TEMPGentleKillerSim" New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null # Erstellen eine Dummy-Ausführbare Datei, um das bösartige Binär zu simulieren $DummyExe = Join-Path $TargetDir "acronis_agent.exe" New-Item -ItemType File -Path $DummyExe -Force | Out-Null # In einem realen Szenario wäre dies das eigentliche GentleKiller-Binär. # Für die Simulation lösen wir die Erkennungslogik aus, indem wir einen Prozess # ausführen, der dem Dateinamen- und Befehlszeilenmuster entspricht. # Hinweis: Da wir keinen echten EDR-Killer ausführen können, verwenden wir cmd, um die Telemetriesignatur zu simulieren. Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden # Um sicherzustellen, dass die Erkennungsregel (die nach dem spezifischen Bildnamen sucht) # in einem echten SIEM auslöst, muss die Telemetrie 'acronis_agent.exe' # im Image-Feld zeigen. -
Bereinigungskommandos:
# Entfernen Sie das simulierte bösartige Verzeichnis und die Dateien Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force