文章总结： 黑客在暗网兜售NtKiller恶意软件，宣称可终止主流杀毒软件并绕过EDR防护。该工具利用早期启动持久化及禁用HVCI等技术实现隐蔽攻击，已形成商业化定价。鉴于实际效果未验证，建议企业加强超越特征识别的行为检测能力以应对威胁。 综合评分： 86 文章分类： 恶意软件,威胁情报,安全运营

【安全圈】黑客在暗网兜售NtKiller恶意软件，宣称可终止杀毒软件并绕过EDR防护

安全圈

2025年12月26日 19:02 江苏

关键词

黑客

代号AlphaGhoul的恶意攻击者正在推广名为NtKiller的工具，该工具可静默关闭杀毒软件和终端检测工具。该工具被发布在一个地下论坛上，犯罪分子常在此交易黑客服务。据广告宣称，NtKiller能帮助攻击者在受感染计算机上运行恶意软件时规避检测。

传统安全防护面临严峻挑战

NtKiller的出现对依赖传统安全工具的企业构成重大威胁。攻击者声称该工具可对抗包括Microsoft Defender、ESET、卡巴斯基、比特梵德和趋势科技在内的多款主流安全产品。更令人担忧的是，在激进模式下运行时，它还能绕过企业级EDR解决方案。KrakenLabs分析师指出，该恶意软件通过早期启动持久化机制保持隐蔽，一旦激活，安全团队将极难检测和清除。

模块化定价的商业化趋势

KrakenLabs研究人员发现NtKiller采用模块化定价策略：基础功能售价500美元，而rootkit功能和UAC绕过等附加功能每项需额外支付300美元。这种定价模式表明该工具已在网络犯罪社区形成商业化销售体系。其宣称的功能不仅限于简单的进程终止，还包括禁用HVCI（基于虚拟化的安全）、操纵VBS（虚拟化安全）以及规避内存完整性检查等高级规避技术。

关键技术特性分析

该工具的早期启动持久化机制通过在系统启动阶段（多数安全监控系统尚未完全激活时）建立立足点，使恶意载荷能在检测最薄弱的环境中执行。其反调试和反分析保护措施阻碍研究人员和自动化工具分析恶意行为，导致实际能力与宣传效果存在显著认知差距。静默UAC绕过功能使恶意软件能获取系统特权而不触发Windows标准警示提示，结合rootkit功能可维持对已入侵系统的持久访问而不被常规安全监控发现。

需特别说明的是，这些能力尚未经第三方研究人员独立验证，NtKiller的实际效果仍不明确。企业应保持警惕，确保安全工具具备超越特征识别的行为检测能力，以应对此类新型威胁。

END

阅读推荐

【安全圈】NVIDIA高危漏洞（CVE-2025-33222/33223/33224）可致AI系统完全沦陷

【安全圈】n8n 高危漏洞致数千实例面临任意代码执行风险

【安全圈】索尼PSN账号系统曝致命漏洞，双重验证形同虚设

【安全圈】“黄播”涌入快手，平台网络安全体系缘何失控？

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客在暗网兜售NtKiller恶意软件，宣称可终止杀毒软件并绕过EDR防护》