Uccidimi Dolce: Dentro il Framework EDR Killer di Gentlemen

SOC Prime Team

Segui

Uccidimi Dolce: Dentro il Framework EDR Killer di Gentlemen

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riepilogo

L’operazione ransomware-as-a-service Gentlemen mantiene una collezione avanzata di killer Endpoint Detection and Response destinati a disabilitare o indebolire i prodotti di sicurezza. Questo arsenale include il framework interno GentleKiller del gruppo, nonché utility di terze parti incorporate come HexKiller e HavocKiller. Gli operatori seguono un modello di evasione coerente basato sulla protezione binaria e sull’imitazione dei fornitori per eludere i controlli difensivi.

Indagine

I ricercatori di ESET hanno condotto un’indagine di più mesi rafforzata da una fuga di dati a maggio 2026 legata al gruppo Gentlemen. La loro analisi ha collegato diversi strumenti di disabilità EDR al flusso di lavoro operativo più ampio della banda e ha verificato la presenza del framework GentleKiller. La ricerca ha anche confermato che il gruppo si basa su tecniche Bring Your Own Vulnerable Driver per ottenere privilegi elevati ed eludere le difese degli endpoint.

Mitigazione

Le organizzazioni dovrebbero implementare un monitoraggio rigoroso per i caricamenti dei driver per identificare installazioni non autorizzate o vulnerabili associate all’attività BYOVD. Indurire le impostazioni degli endpoint per bloccare l’esecuzione di driver non firmati o firmati in modo improprio è essenziale. I team di sicurezza dovrebbero anche cercare loop di distruzione di processi sospetti e percorsi di staging insoliti, come GentlemenCollection, che possono fornire un segnale precoce di preparazione all’attacco.

Risposta

Se viene rilevata questa attività, gli operatori dovrebbero isolare immediatamente gli endpoint impattati per fermare ulteriori abusi basati sui driver. Dovrebbe essere effettuata una revisione completa dei servizi di sistema e dei driver in modalità kernel per individuare e rimuovere componenti malevoli o vulnerabili. I team dovrebbero anche indagare su possibili furti di credenziali esaminando l’accesso ai dati del browser e rivedendo le connessioni in uscita non autorizzate da binari basati su Rust sconosciuti.

"graph TB %% Class Definitions Section classDef tool fill:#cccccc classDef action fill:#99ccff classDef technique fill:#ff9999 %% Node Definitions for Phase 1: Defense Impairment tool_gentlekiller["Tool: GentleKiller Description: In-house framework used for disrupting security software via kernel-level privileges."] class tool_gentlekiller tool tool_thirdparty["Tools: HexKiller, ThrottleBlood, HavocKiller Description: Third-party tools utilized for security software termination."] class tool_thirdparty tool action_byovd["Action: Bring Your Own Vulnerable Driver (BYOVD) Technique: T1543.004 Description: Installing vulnerable drivers such as eb.sys, nseckrnl.sys, or stpm_new.sys to gain kernel-level privileges."] class action_byovd technique action_terminate_edr["Action: Terminate Security Processes Description: Disruption of EDR and Antivirus solutions including ESET, Microsoft Defender, and CrowdStrike."] class action_terminate_edr action %% Node Definitions for Phase 2: Stealth and Masquerading action_obfuscation["Action: Binary Protection and Masquerading Technique: T1036.005 Description: Using Enigma or Themida to protect binaries and applying fake version info, icons, and invalid digital signatures to mimic vendors."] class action_obfuscation technique %% Node Definitions for Phase 3: Credential Access tool_oxideharvest["Tool: OxideHarvest Description: Rust-based credential stealer targeting web browser user data."] class tool_oxideharvest tool action_credential_access["Action: Credential Exfiltration Technique: T1555 Description: Accessing and exfiltrating credentials from Google Chrome, Microsoft Edge, and Mozilla Firefox."] class action_credential_access action %% Connections and Attack Flow tool_gentlekiller –>|executes| action_byovd tool_thirdparty –>|executes| action_byovd action_byovd –>|leads_to| action_terminate_edr action_terminate_edr –>|enables| action_obfuscation action_obfuscation –>|facilitates| tool_oxideharvest tool_oxideharvest –>|performs| action_credential_access "

Flusso di Attacco

Rilevamenti

Possibile Attacco BYOVD – Bring Your Own Vulnerable Driver (tramite verifica)

Team SOC Prime

22 Giugno 2026

Visualizza

Rileva chiamate DeviceIoControl in attività correlate ai Gentlemen [Windows Sysmon]

Regole AI SOC Prime

22 Giugno 2026

Visualizza

Rilevamento Killer EDR GentleKiller [Creazione Processi Windows]

Regole AI SOC Prime

22 Giugno 2026

Visualizza

Esecuzione della Simulazione

Prerequisito: Il Check di pre-volo di Telemetria e Baseline deve essere superato.

Motivo: Questa sezione dettagliata l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

Narrazione & Comandi di Attacco: L’avversario mira a disabilitare l’agente EDR locale per facilitare ulteriori attività di post-sfruttamento. Per eludere il rilevamento, utilizzano il framework “GentleKiller”, che è stato modificato per rinominare il suo eseguibile in acronis_agent.exe. Mascherandosi come un servizio di backup legittimo, l’attaccante spera di confondersi con il rumore dei processi amministrativi standard. L’attaccante esegue il binario rinominato con il flag --help per testarne la funzionalità nell’ambiente attuale.

Script di Test di Regressione:

# Simulazione di GentleKiller che si maschera da Acronis Agent
$TargetDir = "$env:TEMPGentleKillerSim"
New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null

# Crea un eseguibile fittizio per simulare il binario malevolo
$DummyExe = Join-Path $TargetDir "acronis_agent.exe"
New-Item -ItemType File -Path $DummyExe -Force | Out-Null

# In uno scenario reale, questo sarebbe il binario GentleKiller.
# Per simulazione, attiviamo la logica di rilevamento chiamando un processo 
# che corrisponde al nome del file e allo schema della riga di comando.
# Nota: Poiché non possiamo eseguire un vero killer EDR, usiamo cmd per simulare la firma della telemetria.

Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden

# Per garantire che la regola di rilevamento (che cerca il nome dell'immagine specifico) 
# scatti in un vero SIEM, la telemetria deve mostrare 'acronis_agent.exe' 
# nel campo Image.

Comandi di Pulizia:

# Rimuovi la cartella e i file malevoli simulati
Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis