Me tuer doucement : À l’intérieur du cadre Gentlemen’s EDR Killer
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’opération de ransomware-as-a-service The Gentlemen maintient une collection avancée de destructeurs d’Endpoint Detection and Response destinés à désactiver ou affaiblir les produits de sécurité. Cet arsenal comprend le framework maison du groupe GentleKiller ainsi que des utilitaires tiers intégrés tels que HexKiller et HavocKiller. Les opérateurs suivent un modèle d’évasion cohérent basé sur la protection binaire et l’usurpation d’identité des fournisseurs pour contourner les contrôles défensifs.
Enquête
Les chercheurs d’ESET ont mené une enquête de plusieurs mois renforcée par une fuite de données de mai 2026 liée au groupe Gentlemen. Leur analyse a relié plusieurs outils de désactivation des EDR au flux de travail opérationnel plus large du gang et vérifié la présence du framework GentleKiller. La recherche a également confirmé que le groupe utilise des techniques de pilotage de pilotes vulnérables pour obtenir des privilèges élevés et échapper aux défenses des terminaux.
Atténuation
Les organisations devraient déployer une surveillance solide des chargements de pilotes pour identifier l’installation non autorisée ou vulnérable de pilotes associée à l’activité BYOVD. Renforcer les paramètres des terminaux pour bloquer l’exécution de pilotes non signés ou mal signés est essentiel. Les équipes de sécurité devraient également surveiller les boucles suspectes de terminaison de processus et les chemins de mise en scène inhabituels tels que GentlemenCollection, ce qui pourrait fournir un signal précoce de préparation à une attaque.
Réponse
Si cette activité est détectée, les intervenants devraient isoler immédiatement les terminaux impactés pour stopper toute nouvelle exploitation par des pilotes. Un examen complet des services système et des pilotes en mode noyau devrait être effectué pour localiser et supprimer les composants malveillants ou vulnérables. Les équipes devraient également enquêter sur le vol éventuel d’identifiants en auditant l’accès aux données de navigateur et en passant en revue les connexions sortantes non autorisées provenant de binaires basés sur Rust inconnus.
Flow d’attaque
Exécution de simulation
Prérequis : Le contrôle pré-vol de télémetrie et de référence doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémetrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés mèneront à des erreurs de diagnostic.
-
Narratif d’attaque et commandes : L’adversaire vise à désactiver l’agent local EDR pour faciliter d’autres activités post-exploitation. Pour échapper à la détection, ils utilisent le framework « GentleKiller », qui a été modifié pour renommer son exécutable en
acronis_agent.exe. En se faisant passer pour un service de sauvegarde légitime, l’attaquant espère se fondre dans le bruit des processus administratifs standard. L’attaquant exécute le binaire renommé avec le--helpflag pour tester sa fonctionnalité dans l’environnement actuel. -
Script de test de non-régression :
# Simulation de GentleKiller se faisant passer pour Acronis Agent $TargetDir = "$env:TEMPGentleKillerSim" New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null # Créer un exécutable factice pour simuler le binaire malveillant $DummyExe = Join-Path $TargetDir "acronis_agent.exe" New-Item -ItemType File -Path $DummyExe -Force | Out-Null # Dans un scénario réel, ce serait le binaire GentleKiller réel. # Pour la simulation, nous déclenchons la logique de détection en appelant un processus # qui correspond au nom de fichier et au modèle de ligne de commande. # Note : Comme nous ne pouvons pas exécuter un véritable tueur EDR, nous utilisons cmd pour simuler la signature de télémetrie. Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden # Pour s'assurer que la règle de détection (qui recherche le nom d'image spécifique) # s'active dans un vrai SIEM, la télémetrie doit montrer 'acronis_agent.exe' # dans le champ Image. -
Commandes de nettoyage :
# Supprimer le répertoire et les fichiers malveillants simulés Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force