勒索软件攻击者如今已将专门用于禁用端点检测与响应(EDR)软件的“EDR杀手”工具作为标准配置。ESET研究团队追踪发现,野外活跃使用的EDR杀手工具已接近90种。攻击流程高度一致:攻击者首先获取高权限,部署EDR杀手破坏安全软件,随后启动加密程序。这种模式让勒索软件团伙成员(Affiliates)无需频繁修改载荷以规避检测,只需在短暂的窗口期内完成加密即可。
在勒索软件即服务(RaaS)模式下,攻击团伙的运营方通常提供加密器和基础设施,而EDR杀手的选择权则交给具体的团伙成员。ESET研究员Jakub Souček指出,这种分工导致拥有更多成员的团伙,其使用的EDR工具种类更加多样。这意味着防御者面对同一勒索品牌时,可能遭遇来自不同成员使用的多种工具,增加了防御难度。
目前,“自带易受攻击驱动程序”(Bring Your Own Vulnerable Driver)仍是主流手段。攻击者将合法但存在漏洞的驱动程序植入受害机器,利用该漏洞获取内核级权限。尽管这种方法可靠且开发成本低,但一种无需触碰内核的新兴技术正在崛起。这类工具通过干扰EDR通信或直接挂起进程来绕过检测,甚至部分最简单的工具仅利用系统内置的管理命令,完全不需要驱动或内核访问权限。
虽然阻止易受攻击的驱动程序加载是重要的防御步骤,但仅靠此措施已不足够。由于存在多种绕过技术,组织必须建立更前置的控制机制,在驱动程序加载前就阻断EDR杀手的活动。此外,AI辅助开发已渗入威胁领域。ESET评估发现,部分新出现的EDR杀手显示出AI生成代码的特征,例如Warlock勒索团伙的工具中出现了典型的AI生成代码模式,通过试错机制自动寻找可用的设备名称,而非依赖单一特定驱动。这种“氛围编码”(vibe coding)使得威胁追踪和归因变得更加复杂。
勒索软件入侵本质上不同于普通的钓鱼或恶意软件攻击,它是一场交互式、由人主导的持续对抗。攻击者会根据检测情况、工具失效和环境变化不断调整策略。因此,防御者必须重新分配资源,将监控重点前移至提权和驱动安装阶段,而非仅仅关注加密器的部署。对于中国网络安全从业者而言,这一趋势表明单纯依赖传统的特征库防御已难以为继,构建基于行为分析和特权访问控制的主动防御体系,是应对此类智能化、模块化勒索攻击的关键所在。