Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa ransomware-as-a-service znana jako Gentlemen rozwija własny zestaw narzędzi do wyłączania rozwiązań EDR już na wczesnym etapie włamania. Tego rodzaju oprogramowanie, określane jako „EDR killer”, ma unieszkodliwić mechanizmy ochronne na stacjach roboczych i serwerach, aby operatorzy mogli swobodniej prowadzić kradzież danych, ruch boczny oraz szyfrowanie systemów.
To zjawisko pokazuje, że współczesne operacje ransomware nie kończą się na samym szyfratorze. Coraz częściej obejmują rozbudowane komponenty wspierające omijanie zabezpieczeń, eskalację uprawnień i obniżanie widoczności incydentu dla zespołów bezpieczeństwa.
W skrócie
- Gentlemen utrzymuje i rozwija rodzinę narzędzi do wyłączania zabezpieczeń endpointowych.
- Najważniejszym z nich jest GentleKiller, dostępny w wielu wariantach i podszywający się pod legalne aplikacje lub komponenty ochronne.
- Narzędzia wykorzystują technikę BYOVD, czyli ładowanie podatnych sterowników w celu uzyskania uprawnień jądra.
- Atakujący celują w setki procesów związanych z dziesiątkami dostawców bezpieczeństwa.
- W kampaniach pojawiają się także dodatkowe komponenty, w tym narzędzia do kradzieży poświadczeń.
Kontekst / historia
Model RaaS od lat premiuje grupy, które potrafią dostarczyć partnerom nie tylko szyfrator, ale pełny zestaw narzędzi ofensywnych. Obejmuje to obejście ochrony, utrzymanie dostępu, kradzież danych i przygotowanie środowiska do wymuszenia. Gentlemen wpisuje się w ten trend, rozbudowując zaplecze techniczne wokół wyłączania EDR i utrudniania atrybucji.
Według opisywanych analiz operatorzy nie polegają na pojedynczym narzędziu. Zamiast tego rozwijają modułowy ekosystem, który można szybko dopasować do nowych podatnych sterowników lub do konkretnej konfiguracji środowiska ofiary. To podejście zwiększa odporność kampanii na blokowanie pojedynczych komponentów i przyspiesza adaptację do zmian po stronie obrońców.
Analiza techniczna
Kluczowym elementem operacji jest GentleKiller, autorskie narzędzie do dezaktywacji produktów bezpieczeństwa. Poszczególne warianty korzystają z różnych podatnych sterowników, ale zachowują wspólne cechy, takie jak podobna obfuskacja, zbliżona logika kończenia procesów oraz artefakty wskazujące na jednolite zaplecze deweloperskie.
Zastosowana technika BYOVD polega na dostarczeniu legalnie podpisanego, lecz podatnego sterownika, który po załadowaniu pozwala wykonywać operacje na poziomie jądra. W praktyce daje to możliwość kończenia procesów agentów EDR, antywirusów i innych mechanizmów ochronnych, które zazwyczaj są lepiej zabezpieczone przed ingerencją z poziomu użytkownika.
Analiza wskazuje, że GentleKiller może celować w ponad 400 procesów powiązanych z około 48 dostawcami i produktami bezpieczeństwa. Taki zakres targetowania sugeruje, że narzędzie zostało zaprojektowane z myślą o użyciu w zróżnicowanych środowiskach korporacyjnych, a nie przeciwko pojedynczym platformom ochronnym.
Dodatkowo próbki są zabezpieczane komercyjnymi mechanizmami pakowania i ochrony kodu, co utrudnia analizę statyczną i może opóźniać tworzenie skutecznych detekcji. Badacze odnotowali też wykorzystanie skradzionych, choć nieważnych, podpisów cyfrowych, co może wspierać kamuflaż i zwiększać wiarygodność binariów podczas wstępnej inspekcji.
Ekosystem Gentlemen nie ogranicza się do jednego narzędzia. W kampaniach zaobserwowano również użycie zewnętrznych EDR killerów, takich jak HexKiller, ThrottleBlood oraz HavocKiller. Taka redundancja pozwala zwiększyć skuteczność operacji, utrudnia atrybucję i umożliwia dobór odpowiedniego komponentu do konkretnej konfiguracji ochrony u ofiary.
W analizowanych działaniach pojawiło się także narzędzie do kradzieży poświadczeń napisane w Rust, określane jako OxideHarvest. Jego obecność wskazuje, że operatorzy prowadzą nie tylko szyfrowanie, ale również klasyczne działania poprzedzające wymuszenie, takie jak pozyskiwanie dostępu i eksfiltracja danych.
Konsekwencje / ryzyko
Największe ryzyko wynika z połączenia kilku elementów: eskalacji do poziomu jądra, szerokiego katalogu wspieranych celów oraz modułowej architektury umożliwiającej szybką wymianę podatnych sterowników. W praktyce oznacza to, że samo wdrożenie EDR nie gwarantuje odporności, jeśli środowisko dopuszcza uruchamianie nieautoryzowanych sterowników lub nie egzekwuje polityk ograniczających ładowanie komponentów kernel-mode.
Skuteczne wyłączenie EDR znacząco obniża widoczność incydentu. Atakujący zyskują więcej czasu na rekonesans, eskalację uprawnień, kradzież poświadczeń, ruch boczny i przygotowanie szyfrowania. To skraca czas reakcji SOC, zmniejsza skuteczność automatycznych mechanizmów detekcji i utrudnia analizę powłamaniową.
Dodatkowym problemem pozostaje elastyczność łańcucha ataku. Jeśli jedna metoda zostanie wykryta lub zablokowana, operatorzy mogą sięgnąć po alternatywny wariant GentleKiller albo po zewnętrzne narzędzie dające podobny efekt. Dla zespołów IR oznacza to wyższy próg trudności i konieczność obrony przed całym zestawem technik, a nie pojedynczym wskaźnikiem kompromitacji.
Rekomendacje
Organizacje powinny wdrożyć polityki ograniczające ładowanie sterowników oraz egzekwować kontrolę aplikacji na poziomie hosta. Szczególnie ważne jest blokowanie znanych podatnych sterowników oraz regularna aktualizacja list blokad dla mechanizmów ochrony jądra.
W środowiskach Windows warto zweryfikować konfigurację funkcji ograniczających nadużycia sterowników i wzmacniających integralność kodu. Należy także monitorować zdarzenia związane z instalacją nowych sterowników, nietypowymi operacjami na usługach bezpieczeństwa oraz próbami kończenia procesów należących do agentów EDR i AV.
Zespoły SOC powinny rozszerzyć reguły detekcyjne o wskaźniki związane z BYOVD, w tym uruchamianie rzadko spotykanych sterowników, podejrzane narzędzia podpisane nieważnymi certyfikatami oraz sekwencje działań wskazujące na szybkie wyłączanie wielu komponentów ochronnych. Istotne jest również korelowanie telemetrii z warstwy endpoint, systemów IAM i ruchu sieciowego, ponieważ sama telemetria EDR może zostać częściowo utracona.
Dobrym krokiem jest także testowanie odporności środowiska poprzez ćwiczenia purple teaming, symulacje ransomware oraz walidację reguł detekcyjnych pod kątem wyłączania agentów bezpieczeństwa. Organizacje powinny zakładać, że przeciwnik w pierwszej kolejności będzie próbował „oślepić” narzędzia ochronne, a dopiero później przejdzie do właściwego etapu wymuszenia.
Podsumowanie
Przypadek Gentlemen pokazuje, że współczesne operacje ransomware coraz częściej przypominają dojrzałe platformy ofensywne, a nie pojedyncze kampanie malware. Rozwój wielu wariantów EDR killerów, wykorzystanie BYOVD oraz integracja dodatkowych narzędzi do kradzieży poświadczeń wskazują na wysoki poziom specjalizacji i adaptacyjności.
Dla obrońców kluczowe staje się już nie tylko wykrywanie szyfratora, ale wcześniejsze identyfikowanie prób wyłączania ochrony, ładowania podatnych sterowników i degradacji widoczności w środowisku. To właśnie ten etap może dziś decydować o tym, czy atak zostanie zatrzymany przed przejściem do fazy wymuszenia.
Źródła
- https://www.bleepingcomputer.com/news/security/gentlemen-ransomware-uses-multiple-edr-killers-to-disable-defenses/
- https://www.welivesecurity.com/