文章总结： 本文深度复盘TheGentlemen勒索软件组织的BYOVD免杀与蠕虫化传播机制，揭示其通过利用边缘设备漏洞（如CVE-2024-55591等）进行初始访问，在内网潜伏2-6周并使用BYOVD技术加载合法签名驱动以终止EDR进程，最终通过Go语言编写的深度混淆（garble）勒索主体结合X25519与XChaCha20混合加密算法，并支持–spread参数实现蠕虫化横向传播的攻击链路，为防御者提供加固域控、及时修补边缘设备及监控内核驱动等可操作建议。 综合评分： 88 文章分类： 恶意软件,漏洞分析,红队,内网渗透,应急响应

勒索界卷王？深度复盘The Gentlemen的BYOVD免杀与蠕虫化传播机制

原创

Hankzheng Hankzheng

技术修道场

2026年6月16日 08:07 广东

在小说阅读器读本章

去阅读

今天我们来聊聊最近火爆外网的“西装暴徒”。

前两天我在看 PRODAFT 和几家安全厂商的最新威胁情报时，被一个叫 The Gentlemen（绅士） 的勒索软件组织给惊艳到了。截至目前，这帮家伙已经拿下了全球478个高价值目标。最离谱的是，他们不仅玩转了双重勒索，其勒索软件甚至自带“蠕虫化”传播功能。

今天我就从纯技术的角度，带大家扒一扒这个“卷王”组织的底层技术路径。不管你是做红队渗透的、蓝队防守的，还是做安全架构的，这篇文章绝对能让你对现代勒索软件的攻击面有一个全新的认知。

1. 组织溯源：从打工仔到“黑客资本家”

简单八卦一下背景。这个组织的老大代号 LARVA-368（外网已经被安全记者开盒了，是个36岁的俄罗斯老哥）。这哥们以前是给 LockBit、Qilin 这些大牌勒索软件做代理打工的，后来因为跟 Qilin 分赃不均（指控对方搞资金盘跑路，黑了他4.8万美金），一气之下单干，搞出了 The Gentlemen。

为了招募顶尖的渗透测试人员（Affiliates），他们开出了极度夸张的 90/10 利润分成（黑客拿90%，平台拿10%）。而且为了防蜜罐和安全研究员卧底，你想加入他们，必须先上交一份至少 1GB 的真实受害者窃取数据作为“投名状”。

2. 突破边界：死磕边缘设备与漏洞利用

咱们直接进正题。The Gentlemen 在打点（Initial Access）阶段，极度偏爱暴露在公网的 边缘设备（Edge Devices），尤其是 VPN、防火墙等。

• 高频目标：

  Cisco（思科）和 Fortinet（飞塔）的基础设施。

• 武器库漏洞利用：

  他们不仅用常规的弱口令爆破，还密切跟踪和武器化最新的 NDay/1Day 漏洞。比如最近被广泛利用的 CVE-2024-55591、CVE-2025-32433 和 CVE-2025-33073。

• 技术路径：

  他们通常结合备份系统漏洞、管理控制台滥用以及 NTLM Relay（NTLM中继） 工作流，构建了一条极其灵活的自动化漏洞利用流水线。

防守建议：

各位运维兄弟，赶紧去盘点一下内网暴露在公网的资产，特别是 VMware Aria Operations 这种基础设施。漏洞补丁不打，约等于大门没锁，直接给黑客送人头。

3. 内网漫游与强对抗：BYOVD技术杀穿EDR

拿到入口后，这帮人的内网渗透手法堪称教科书级别。据统计，他们平均会在目标内网潜伏 2到6周。

• AD域环境枚举与提权：

  他们使用了一系列深度定制的红队工具，包括 NetExec、RelayKing、TaskHound、PrivHound 和 CertiHound。从 Active Directory（活动目录）发现、证书滥用（Certificate Abuse）到权限提升和文件共享发现，一套连招打得极其丝滑。

• BYOVD 绕过安全防护：

  这是整个攻击链路中最棘手的部分。为了干掉主机上的 EDR（端点检测与响应）和杀毒软件，他们熟练运用了 BYOVD（自带易受攻击的驱动程序） 技术。通过加载带有已知漏洞的合法签名驱动，直接在内核层（Ring 0）暴力终止安全软件的进程。

• 后渗透隐藏：

  他们结合 EDRStartupHinder、gfreeze、glinker 和 DumpBrowserSecrets 等自定义工具来清理 Windows 事件日志（系统、应用、安全日志全删），同时使用开源的 Velociraptor 作为隐蔽的 C2（命令与控制）通道。

4. 勒索核心：Go语言混淆与蠕虫化传播

最后一步就是图穷匕见了。The Gentlemen 的勒索主体是使用 Go语言 编写的，这在跨平台兼容性上有着天然优势（他们甚至提供了 Windows、Linux、ESXi、Windows XP+ 和 LVM 五个版本）。

• 极致的代码混淆：

  为了对抗逆向工程和静态特征查杀，他们使用了 Garble 对 Go 代码进行了深度混淆。

• 混合加密算法：

  采用 X25519 密钥交换算法结合 XChaCha20 对称加密。这种组合不仅加密速度极快，而且在当前算力下几乎不可暴力破解。

• 可怕的命令行参数：

• –spread

  加上这个参数，勒索软件瞬间变身 蠕虫病毒。它会自动扫描网络，并尝试将加密器横向部署到网络中所有可达的系统上，实现全网物理机与虚拟机的自动化摧毁。

• –wipe

  后加密阶段的清理命令，直接物理擦除磁盘上的可恢复痕迹，让数据恢复公司彻底失业。

总结

看完了 The Gentlemen 的整个攻击链路，我最大的感触是：现在的勒索软件早就不是当年写个简单的加密脚本碰运气了。

他们有完善的敏捷开发生命周期（甚至在解密工具泄露后一天内就能发布补丁修复），有明确的黑产角色分工，甚至还会利用 AI 来辅助编写后渗透工具。技术在不断迭代，对抗永远不会停止。

希望这篇技术拆解能给大家带来一些防御上的启发。内网域控的安全加固、边缘设备的及时补丁、以及对内核层异常驱动的严格监控，是我们目前必须筑牢的三道防线。

兄弟们，如果你对文中提到的某些工具或者漏洞利用链细节感兴趣，欢迎在评论区留言交流！我们下期技术干货再见。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《勒索界卷王？深度复盘The Gentlemen的BYOVD免杀与蠕虫化传播机制》