Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’opération de ransomware-as-a-service The Gentlemen maintient une collection avancée de destructeurs d’Endpoint Detection and Response destinés à désactiver ou affaiblir les produits de sécurité. Cet arsenal comprend le framework maison du groupe GentleKiller ainsi que des utilitaires tiers intégrés tels que HexKiller et HavocKiller. Les opérateurs suivent un modèle d’évasion cohérent basé sur la protection binaire et l’usurpation d’identité des fournisseurs pour contourner les contrôles défensifs.
Enquête
Les chercheurs d’ESET ont mené une enquête de plusieurs mois renforcée par une fuite de données de mai 2026 liée au groupe Gentlemen. Leur analyse a relié plusieurs outils de désactivation des EDR au flux de travail opérationnel plus large du gang et vérifié la présence du framework GentleKiller. La recherche a également confirmé que le groupe utilise des techniques de pilotage de pilotes vulnérables pour obtenir des privilèges élevés et échapper aux défenses des terminaux.
Atténuation
Les organisations devraient déployer une surveillance solide des chargements de pilotes pour identifier l’installation non autorisée ou vulnérable de pilotes associée à l’activité BYOVD. Renforcer les paramètres des terminaux pour bloquer l’exécution de pilotes non signés ou mal signés est essentiel. Les équipes de sécurité devraient également surveiller les boucles suspectes de terminaison de processus et les chemins de mise en scène inhabituels tels que GentlemenCollection, ce qui pourrait fournir un signal précoce de préparation à une attaque.
Réponse
Si cette activité est détectée, les intervenants devraient isoler immédiatement les terminaux impactés pour stopper toute nouvelle exploitation par des pilotes. Un examen complet des services système et des pilotes en mode noyau devrait être effectué pour localiser et supprimer les composants malveillants ou vulnérables. Les équipes devraient également enquêter sur le vol éventuel d’identifiants en auditant l’accès aux données de navigateur et en passant en revue les connexions sortantes non autorisées provenant de binaires basés sur Rust inconnus.
« graph TB
%% Class Definitions Section
classDef tool fill:#cccccc
classDef action fill:#99ccff
classDef technique fill:#ff9999
%% Node Definitions for Phase 1: Defense Impairment
tool_gentlekiller[« Outil: GentleKiller
Description: Framework interne utilisé pour
perturber les logiciels de sécurité via des privilèges au niveau noyau. »]
class tool_gentlekiller tool
tool_thirdparty[« Outils: HexKiller, ThrottleBlood, HavocKiller
Description: Outils tiers utilisés pour
la terminaison des logiciels de sécurité. »]
class tool_thirdparty tool
action_byovd[« Action: Amener votre propre pilote vulnérable (BYOVD)
Technique: T1543.004
Description: Installation de pilotes vulnérables tels
que eb.sys, nseckrnl.sys, ou stpm_new.sys pour
obtenir des privilèges au niveau noyau. »]
class action_byovd technique
action_terminate_edr[« Action: Terminer les processus de sécurité
Description: Perturbation des solutions EDR et Antivirus
y compris ESET, Microsoft Defender et CrowdStrike. »]
class action_terminate_edr action
%% Node Definitions for Phase 2: Stealth and Masquerading
action_obfuscation[« Action: Protection Binaire et Usurpation
Technique: T1036.005
Description: Utilisation d’Enigma ou Themida pour protéger les binaires
et appliquer de fausses infos de version, icônes, et
signatures numériques invalides pour imiter des fournisseurs. »]
class action_obfuscation technique
%% Node Definitions for Phase 3: Credential Access
tool_oxideharvest[« Outil: OxideHarvest
Description: Voleur d’identifiants basé sur Rust ciblant
les données utilisateur de navigateur Web. »]
class tool_oxideharvest tool
action_credential_access[« Action: Exfiltration d’identifiants
Technique: T1555
Description: Accès et exfiltration des identifiants de
Google Chrome, Microsoft Edge et Mozilla Firefox. »]
class action_credential_access action
%% Connections and Attack Flow
tool_gentlekiller –>|executes| action_byovd
tool_thirdparty –>|executes| action_byovd
action_byovd –>|leads_to| action_terminate_edr
action_terminate_edr –>|enables| action_obfuscation
action_obfuscation –>|facilitates| tool_oxideharvest
tool_oxideharvest –>|performs| action_credential_access
«
Flow d’attaque
Exécution de simulation
Prérequis : Le contrôle pré-vol de télémetrie et de référence doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémetrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés mèneront à des erreurs de diagnostic.
-
Narratif d’attaque et commandes : L’adversaire vise à désactiver l’agent local EDR pour faciliter d’autres activités post-exploitation. Pour échapper à la détection, ils utilisent le framework « GentleKiller », qui a été modifié pour renommer son exécutable en
acronis_agent.exe. En se faisant passer pour un service de sauvegarde légitime, l’attaquant espère se fondre dans le bruit des processus administratifs standard. L’attaquant exécute le binaire renommé avec le--helpflag pour tester sa fonctionnalité dans l’environnement actuel. -
Script de test de non-régression :
# Simulation de GentleKiller se faisant passer pour Acronis Agent $TargetDir = "$env:TEMPGentleKillerSim" New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null # Créer un exécutable factice pour simuler le binaire malveillant $DummyExe = Join-Path $TargetDir "acronis_agent.exe" New-Item -ItemType File -Path $DummyExe -Force | Out-Null # Dans un scénario réel, ce serait le binaire GentleKiller réel. # Pour la simulation, nous déclenchons la logique de détection en appelant un processus # qui correspond au nom de fichier et au modèle de ligne de commande. # Note : Comme nous ne pouvons pas exécuter un véritable tueur EDR, nous utilisons cmd pour simuler la signature de télémetrie. Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden # Pour s'assurer que la règle de détection (qui recherche le nom d'image spécifique) # s'active dans un vrai SIEM, la télémetrie doit montrer 'acronis_agent.exe' # dans le champ Image. -
Commandes de nettoyage :
# Supprimer le répertoire et les fichiers malveillants simulés Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force