近几个月来，安全研究人员发现，一个名为“绅士”的勒索软件组织的活动激增。

该威胁行为者通过部署高度专业化的工具和细致的侦察策略，迅速将目标锁定在多个行业和地区的关键基础设施上。

利用合法的 Windows 驱动程序和细致的组策略对象 (GPO) 操作，The Gentlemen 能够逃避传统防御并实现全域范围的攻击。

该组织最初的入侵技术仍然部分不为人所知；然而，法医证据表明，泄露的凭证或暴露的面向互联网的服务是主要的感染媒介。

在建立立足点之后，绅士们部署了一个双组件防御规避套件，该套件由 All.exe 和 ThrottleBlood.sys 组成，ThrottleBlood.sys 是一个合法签名的驱动程序，用于终止受保护的安全进程。

绅士勒索软件集团博客网站（来源 – 趋势科技）

这种内核级操作使威胁行为者能够在不触发标准警报的情况下消除端点保护。

趋势科技分析师指出，该套件的后续迭代包括动态修改的二进制文件 Allpatch2.exe，它专门针对受感染网络中存在的独特安全代理组件。

通过在活动中期调整其工具，该组织展示了灵活性和对企业安全形势的深刻理解。

这种方法促进了其加密有效载荷通过 NETLOGON 共享的广泛部署，确保了跨域加入系统的快速和全面的文件加密。

绅士们的行动影响非常严重：制造业、医疗保健和建筑业等关键行业遭受了服务中断和大规模数据加密。

受害者报告称关键备份丢失，并且通过 WinSCP 未经授权泄露敏感信息，证实了采用了双重勒索策略。

这描述了勒索软件攻击链，说明了从初始访问到数据泄露的每个阶段。

感染机制和内核级逃避

绅士们的方法的一个显著特征是利用合法的 Windows 驱动程序来实现内核级执行。

执行后，勒索软件会将一对文件放入 %USERPROFILE%\Downloads 目录中：

copy All.exe %USERPROFILE%\Downloads\All.exe
copy ThrottleBlood.sys %USERPROFILE%\Downloads\ThrottleBlood.sys

然后，攻击者调用驱动程序来终止目标安全服务：命令行序列说明了这种对签名驱动程序功能的滥用：-

%USERPROFILE%\Downloads\All.exe install ThrottleBlood.sys
taskkill /IM avagent.exe /F
taskkill /IM VeeamNFSSvc.exe /F

通过利用这种技术，绅士们摆脱了用户模式绕过的限制。

一旦内核执行得到保护，勒索软件就会使用 PowerRun.exe 来提升权限，PowerRun.exe 是一个经常被滥用来提升命令执行权限的合法实用程序。

这使得恶意软件可以修改关键注册表项（例如通过启用 RDP 访问reg add HKLM\System\CurrentControlSet\Control\Terminal Server /v SecurityLayer /t REG_DWORD /d 1 /f）并通过 GPO 对象部署持久性机制。

虽然此攻击链展示了基于驱动程序的进程终止的代码驱动阶段，但合法工具与自定义二进制文件的结合体现了攻击者成熟的技术，能够在隐蔽性、适应性和影响力之间取得平衡。

当组织在传统端点防御方面遇到困难时，这种先进策略的出现凸显了主动威胁搜寻和实施零信任原则的迫切需要。