팔로우 
요약
젠틀맨 랜섬웨어 서비스 운영은 보안 제품을 비활성화하거나 약화시키기 위한 고급 엔드포인트 탐지 및 반응(EDR) 킬러 모음을 유지하고 있습니다. 이 무기고에는 그룹 내의 젠틀킬러 프레임워크와 HexKiller, HavocKiller와 같은 내장된 타사 유틸리티가 포함되어 있습니다. 운영자들은 이진 보호 및 벤더 사칭을 중심으로 구축된 일관된 회피 모델을 따라 방어 통제를 우회하려고 합니다.
조사
ESET 연구원들은 젠틀맨 그룹과 연관된 2026년 5월 데이터 유출로 강화된 수개월간의 조사를 수행했습니다. 그들의 분석은 여러 EDR 비활성화 도구를 갱의 더 넓은 운영 워크플로와 연결하고 젠틀킬러 프레임워크의 존재를 확인했습니다. 연구 또한 그룹이 고급 권한을 획득하고 엔드포인트 방어를 회피하기 위해 자사 취약 드라이버 기술을 신뢰한다는 것을 확인했습니다.
완화
조직은 BYOVD 활동과 관련된 비인가 또는 취약 드라이버 설치를 식별하기 위해 드라이버 로드에 대한 강력한 모니터링을 배포해야 합니다. 서명되지 않았거나 잘못 서명된 드라이버의 실행을 차단하기 위해 엔드포인트 설정을 강화하는 것이 필수적입니다. 또한 보안 팀은 수상한 프로세스 킬링 루프와 같은 비정상적인 스테이징 경로를 주시해야 합니다. GentlemenCollection, 공격 준비의 초기 신호를 제공할 수 있습니다.
대응
이 활동이 감지되면, 대응자는 추가적인 드라이버 기반 악용을 멈추기 위해 영향을 받은 엔드포인트를 즉시 격리해야 합니다. 악성 또는 취약한 구성 요소를 찾아 제거하기 위해 시스템 서비스 및 커널 모드 드라이버의 전체 검토를 수행해야 합니다. 또한 보안 팀은 브라우저 데이터 엑세스를 검토하고 알려지지 않은 Rust 기반 바이너리로부터의 비승인된 외부 연결을 검토하여 잠재적인 자격 증명 도난을 조사해야 합니다.
“graph TB
%% Class Definitions Section
classDef tool fill:#cccccc
classDef action fill:#99ccff
classDef technique fill:#ff9999
%% Node Definitions for Phase 1: Defense Impairment
tool_gentlekiller[“툴: 젠틀킬러
설명: 커널 레벨 권한을 통해 보안 소프트웨어를 방해하는 자체 개발 프레임워크.”]
class tool_gentlekiller tool
tool_thirdparty[“툴들: HexKiller, ThrottleBlood, HavocKiller
설명: 보안 소프트웨어 종료에 사용되는 타사 도구.”]
class tool_thirdparty tool
action_byovd[“액션: 취약 드라이버 직접 사용 (BYOVD)
기술: T1543.004
설명: eb.sys, nseckrnl.sys, stpm_new.sys과 같은 취약 드라이버를 설치하여 커널 레벨 권한을 획득.”]
class action_byovd technique
action_terminate_edr[“액션: 보안 프로세스 종료
설명: EDR 및 백신 솔루션의 방해 ESET, Microsoft Defender, CrowdStrike 등을 포함.”]
class action_terminate_edr action
%% Node Definitions for Phase 2: Stealth and Masquerading
action_obfuscation[“액션: 이진 보호 및 사칭
기술: T1036.005
설명: 바이너리를 보호하기 위한 Enigma 또는 Themida 사용 및 공급업체 모사를 위한 잘못된 버전 정보, 아이콘 및 잘못된 디지털 서명 적용.”]
class action_obfuscation technique
%% Node Definitions for Phase 3: Credential Access
tool_oxideharvest[“툴: OxideHarvest
설명: 웹 브라우저 사용자 데이터를 목표로 한 Rust 기반 자격 증명 수집기.”]
class tool_oxideharvest tool
action_credential_access[“액션: 자격 증명 탈취
기술: T1555
설명: Google Chrome, Microsoft Edge, Mozilla Firefox에서 자격 증명을 액세스하고 탈취.”]
class action_credential_access action
%% Connections and Attack Flow
tool_gentlekiller –>|executes| action_byovd
tool_thirdparty –>|executes| action_byovd
action_byovd –>|leads_to| action_terminate_edr
action_terminate_edr –>|enables| action_obfuscation
action_obfuscation –>|facilitates| tool_oxideharvest
tool_oxideharvest –>|performs| action_credential_access
“
공격 흐름
시뮬레이션 실행
전제 조건: 원격 측정 및 기준 값 사전 비행 점검이 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적수 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 반드시 식별된 TTP를 직접 반영해야 하며 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예시는 오진으로 이어질 것입니다.
-
공격 서사 및 명령: 적수는 로컬 EDR 에이전트를 비활성화하여 추가적인 사후 악용 활동을 용이하게 하려고 합니다. 탐지를 피하기 위해 “젠틀킬러” 프레임워크를 이용하며, 이 프레임워크는 실행 파일의 이름을
acronis_agent.exe로 변경하도록 수정되었습니다. 합법적인 백업 서비스로 위장하여 공격자는 표준 관리 프로세스의 소음에 섞이기를 희망합니다. 공격자는 리네임된 바이너리를--help플래그를 사용하여 현재 환경에서 그 기능을 테스트합니다. -
회귀 테스트 스크립트:
# Acronis Agent로 위장한 젠틀킬러 시뮬레이션 $TargetDir = "$env:TEMPGentleKillerSim" New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null # 악성 바이너리를 시뮬레이션하기 위한 더미 실행 파일 생성 $DummyExe = Join-Path $TargetDir "acronis_agent.exe" New-Item -ItemType File -Path $DummyExe -Force | Out-Null # 실제 시나리오에서는 실제 젠틀킬러 바이너리가 됩니다. # 시뮬레이션을 위해 탐지 논리를 트리거하여 파일명 및 명령줄 패턴에 맞는 프로세스를 호출합니다. # 주의: 실제 EDR 킬러를 실행할 수 없으므로 cmd를 사용하여 원격 측정 서명을 시뮬레이션합니다. Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden # 실제 SIEM에서 특정 이미지 이름을 찾는 탐지 규칙이 발동되도록 하려면 # 원격 측정이 'acronis_agent.exe'가 이미지 필드에 나타나야 합니다. -
정리 명령:
# 시뮬레이션된 악성 디렉토리와 파일 제거 Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force