Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A operação de ransomware-como-serviço Gentlemen mantém uma coleção avançada de assassinos de Detecção e Resposta de Endpoint destinada a desativar ou enfraquecer produtos de segurança. Este arsenal inclui o framework in-house do grupo, GentleKiller, bem como utilitários de terceiros embutidos, como HexKiller e HavocKiller. Os operadores seguem um modelo de evasão consistente baseado na proteção binária e na personificação de fornecedores para escapar dos controles de defesa.
Investigação
Pesquisadores da ESET realizaram uma investigação de vários meses que foi fortalecida por um vazamento de dados em maio de 2026 ligado ao grupo Gentlemen. Sua análise conectou várias ferramentas de desativação de EDR ao fluxo de trabalho operacional mais amplo da gangue e verificou a presença do framework GentleKiller. A pesquisa também confirmou que o grupo conta com técnicas de Trazer Seu Próprio Driver Vulnerável para obter privilégios elevados e escapar das defesas de endpoint.
Mitigação
As organizações devem implementar um monitoramento rigoroso para cargas de drivers a fim de identificar instalações de drivers não autorizados ou vulneráveis associadas à atividade BYOVD. Endurecer as configurações do endpoint para bloquear a execução de drivers não assinados ou assinados incorretamente é essencial. As equipes de segurança também devem ficar atentas a loops suspeitos de encerramento de processos e caminhos de preparação incomuns, como GentlemenCollection, que podem fornecer um sinal precoce de preparação para um ataque.
Resposta
Se essa atividade for detectada, os respondedores devem isolar imediatamente os endpoints impactados para impedir mais abusos baseados em drivers. Uma revisão completa dos serviços do sistema e drivers em modo kernel deve ser realizada para localizar e remover componentes maliciosos ou vulneráveis. As equipes também devem investigar possíveis roubos de credenciais auditando o acesso a dados do navegador e revisando conexões de saída não autorizadas de binários baseados em Rust desconhecidos.
"graph TB %% Class Definitions Section classDef tool fill:#cccccc classDef action fill:#99ccff classDef technique fill:#ff9999 %% Node Definitions for Phase 1: Defense Impairment tool_gentlekiller["<b>Tool</b>: GentleKiller<br/><b>Description</b>: Framework interno utilizado para<br/>desestabilização de software de segurança via privilégios de nível kernel."] class tool_gentlekiller tool tool_thirdparty["<b>Tools</b>: HexKiller, ThrottleBlood, HavocKiller<br/><b>Description</b>: Ferramentas de terceiros utilizadas para<br/>terminação de software de segurança."] class tool_thirdparty tool action_byovd["<b>Action</b>: Trazer Seu Próprio Driver Vulnerável (BYOVD)<br/><b>Technique</b>: T1543.004<br/><b>Description</b>: Instalando drivers vulneráveis como<br/>eb.sys, nseckrnl.sys, ou stpm_new.sys para<br/>ganhar privilégios de nível kernel."] class action_byovd technique action_terminate_edr["<b>Action</b>: Terminar Processos de Segurança<br/><b>Description</b>: Desestabilização de soluções EDR e Antivírus<br/>incluindo ESET, Microsoft Defender e CrowdStrike."] class action_terminate_edr action %% Node Definitions for Phase 2: Stealth and Masquerading action_obfuscation["<b>Action</b>: Proteção Binária e Mascaramento<br/><b>Technique</b>: T1036.005<br/><b>Description</b>: Usando Enigma ou Themida para proteger binários<br/>e aplicando informações de versão falsas, ícones e<br/>assinaturas digitais inválidas para imitar fornecedores."] class action_obfuscation technique %% Node Definitions for Phase 3: Credential Access tool_oxideharvest["<b>Tool</b>: OxideHarvest<br/><b>Description</b>: Ferramenta de roubo de credenciais baseada em Rust direcionada a<br/>dados de usuário de navegador web."] class tool_oxideharvest tool action_credential_access["<b>Action</b>: Exfiltração de Credenciais<br/><b>Technique</b>: T1555<br/><b>Description</b>: Acessando e exfiltrando credenciais de<br/>Google Chrome, Microsoft Edge e Mozilla Firefox."] class action_credential_access action %% Connections and Attack Flow tool_gentlekiller –>|executes| action_byovd tool_thirdparty –>|executes| action_byovd action_byovd –>|leads_to| action_terminate_edr action_terminate_edr –>|enables| action_obfuscation action_obfuscation –>|facilitates| tool_oxideharvest tool_oxideharvest –>|performs| action_credential_access "
Fluxo do Ataque
Detecções
Possível Ataque BYOVD – Trazer Seu Próprio Driver Vulnerável (via auditoria)
Visualizar
Detectar Chamadas de DeviceIoControl por Atividades Relacionadas ao Gentlemen [Windows Sysmon]
Visualizar
Detecção do Assassino EDR GentleKiller [Criação de Processo do Windows]
Visualizar
Execução da Simulação
Pré-requisito: O Cheque Prévio de Telemetria e Referências deve ter passado.
Justificação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para desencadear a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: O adversário visa desativar o agente EDR local para facilitar mais atividades de pós-exploração. Para evitar detecção, eles utilizam o framework “GentleKiller”, que foi modificado para renomear seu executável para
acronis_agent.exe. Ao se passar por um serviço legítimo de backup, o atacante espera se misturar ao ruído de processos administrativos padrão. O atacante executa o binário renomeado com a flag--helppara testar sua funcionalidade no ambiente atual. -
Script de Teste de Regressão:
# Simulação de GentleKiller se passando por Acronis Agent $TargetDir = "$env:TEMPGentleKillerSim" New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null # Criar um executável fictício para simular o binário malicioso $DummyExe = Join-Path $TargetDir "acronis_agent.exe" New-Item -ItemType File -Path $DummyExe -Force | Out-Null # Em um cenário real, este seria o binário real do GentleKiller. # Para simulação, acionamos a lógica de detecção chamando um processo # que corresponda ao nome do arquivo e ao padrão de linha de comando. # Nota: Como não podemos executar um EDR killer real, usamos cmd para simular a assinatura da telemetria. Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden # Para garantir que a regra de detecção (que procura o nome específico da imagem) # dispare em um SIEM real, a telemetria deve mostrar 'acronis_agent.exe' # no campo Image. -
Comandos de Limpeza:
# Remover o diretório e arquivos maliciosos simulados Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force