文章总结： 黑客正通过滥用ProcessHacker、IObitUnlocker等合法的Windows工具，在勒索软件攻击前静默终止杀毒软件和EDR防护。这种利用可信工具的策略可规避安全检测，攻击分两阶段：先清除安全软件并提权，再部署勒索软件。建议组织启用应用白名单、监控可疑终止命令并强制多因素认证。 综合评分： 78 文章分类： 恶意软件,红队,终端安全,安全建设

黑客利用合法的Windows工具禁用杀毒软件，以发动勒索软件攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月1日 12:06 北京

在小说阅读器读本章

去阅读

勒索软件攻击早已超越了简单的恶意代码。如今，攻击者如同精心策划的企业一般，利用可信的Windows工具悄无声息地瓦解防御体系，甚至在勒索软件真正入侵之前就将其摧毁。

这种转变使得现代勒索软件攻击更难检测，破坏性也更大。

此次威胁的核心工具并非为犯罪而设计。诸如 Process Hacker、IOBit Unlocker、PowerRun 和 AuKill 之类的实用程序最初是为帮助 IT 团队管理进程、解锁文件和解决日常系统问题而开发的。

攻击者已将其重新利用，在投放勒索软件有效载荷之前，悄悄终止防病毒软件和终端检测与响应 (EDR) 软件。

由于这些工具都经过数字签名，并在企业环境中广泛使用，因此大多数安全系统将其活动视为标准管理工作，几乎不留下任何痕迹。

Seqrite 的研究人员发现了这种日益增长的趋势，并指出滥用合法的底层工具已成为当今勒索软件活动的一个显著特征——从 LockBit 3.0 和 BlackCat 到 Dharma、Phobos 和 MedusaLocker。

研究表明，这些威胁行为者并非仅仅依赖定制恶意软件。相反，他们会仔细研究目标，识别安全漏洞，并将原本用于维护系统健康的工具武器化。

在这些攻击中，禁用杀毒软件并非次要步骤，而是整个攻击计划中精心策划的关键环节。安全软件处于激活状态时，可以阻止恶意程序执行，捕获异常加密行为，并实时向安全团队发出警报。

攻击者首先关闭这些防御措施，从而创造一个静默窗口，让勒索软件可以自由运行，不受干扰。

多年来，这种策略已经取得了长足的进步，从早期威胁（如 CryptoLocker 和 WannaCry）使用的基本命令行脚本，发展到 Conti 和LockBit 2.0 活动中出现的内核级驱动程序操作，再到现在直接嵌入到勒索软件即服务 (RaaS) 工具包中的预打包反病毒杀手模块。

这种威胁的范围涵盖各种规模的组织——从小型企业到大型企业——而且攻击路径始终遵循精心设计的顺序，在每个阶段都利用可信工具来避免被检测。

对合法 Windows 工具的两阶段滥用

一旦攻击者站稳脚跟，他们就会遵循一个两阶段的过程，在勒索软件有效载荷运行之前系统地拆除安全措施。

第一阶段的目标完全是清除杀毒软件并提升权限。像 IOBit Unlocker 这样的工具会使用 NtUnlockFile API 删除杀毒软件的二进制文件，而 TDSSKiller（最初是一个 rootkit 清除工具）则被重新用于卸载杀毒软件的内核驱动程序，从而阻止它们重新加载。

Process Hacker 利用 SeDebugPrivilege 终止防病毒进程，而 Atool_ExperModel 删除防病毒启动注册表项，移除计划任务并彻底破坏持久性。

第二阶段是攻击最为危险的阶段。一旦安全软件被攻破，攻击者就会将注意力转移到窃取凭证、篡改内核和部署勒索软件上。

YDArk 钩住内核级回调以保持隐蔽持久性，而 PowerRun 以完整的 SYSTEM 级权限执行勒索软件有效载荷。

Mimikatz 读取 LSASS 内存以提取缓存的管理员凭据，从而实现跨网络横向移动。

Unlock_IT 会擦除注册表项和取证痕迹以清除证据，而 AuKill 则会明确终止所有剩余的 EDR 进程。

两个阶段完成后，环境已完全准备好进行静默的大规模文件加密，没有任何防御措施可以进行干预。

组织应在所有特权帐户上强制执行多因素身份验证，启用应用程序白名单以阻止未经批准的实用程序，并主动监控可疑的终止命令，例如 sc stop， net stop和 taskkill。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客利用合法的Windows工具禁用杀毒软件，以发动勒索软件攻击》