文章总结： 代号AlphaGhoul的攻击者在暗网推广NtKiller恶意软件，该工具宣称可终止主流杀毒软件并绕过EDR防护，具备早期启动持久化和反分析能力。其采用模块化定价销售，虽未经独立验证，但显示出高度商业化趋势。建议企业加强超越特征码识别的行为检测能力以应对此类高级威胁。 综合评分： 85 文章分类： 恶意软件,威胁情报,免杀

暗网兜售NtKiller恶意软件，可终止杀毒软件并绕过EDR防护

FreeBuf

2026年1月4日 19:52 上海

代号AlphaGhoul的恶意攻击者正在推广名为NtKiller的工具，该工具可静默关闭杀毒软件和终端检测工具。该工具被发布在一个地下论坛上，犯罪分子常在此交易黑客服务。据广告宣称，NtKiller能帮助攻击者在受感染计算机上运行恶意软件时规避检测。

Part01

传统安全防护面临严峻挑战

NtKiller的出现对依赖传统安全工具的企业构成重大威胁。攻击者声称该工具可对抗包括Microsoft Defender、ESET、卡巴斯基、比特梵德和趋势科技在内的多款主流安全产品。更令人担忧的是，在激进模式下运行时，它还能绕过企业级EDR解决方案。KrakenLabs分析师指出，该恶意软件通过早期启动持久化机制保持隐蔽，一旦激活，安全团队将极难检测和清除。

Part02

模块化定价的商业化趋势

KrakenLabs研究人员发现NtKiller采用模块化定价策略：基础功能售价500美元，而rootkit功能和UAC绕过等附加功能每项需额外支付300美元。这种定价模式表明该工具已在网络犯罪社区形成商业化销售体系。其宣称的功能不仅限于简单的进程终止，还包括禁用HVCI（基于虚拟化的安全）、操纵VBS（虚拟化安全）以及规避内存完整性检查等高级规避技术。

Part03

关键技术特性分析

该工具的早期启动持久化机制通过在系统启动阶段（多数安全监控系统尚未完全激活时）建立立足点，使恶意载荷能在检测最薄弱的环境中执行。其反调试和反分析保护措施阻碍研究人员和自动化工具分析恶意行为，导致实际能力与宣传效果存在显著认知差距。静默UAC绕过功能使恶意软件能获取系统特权而不触发Windows标准警示提示，结合rootkit功能可维持对已入侵系统的持久访问而不被常规安全监控发现。

需特别说明的是，这些能力尚未经第三方研究人员独立验证，NtKiller的实际效果仍不明确。企业应保持警惕，确保安全工具具备超越特征识别的行为检测能力，以应对此类新型威胁。

参考来源：

Threat Actors Advertised NtKiller Malware on Dark Web Claiming Terminate Antivirus and EDR Bypass

Threat Actors Advertised NtKiller Malware on Dark Web Claiming Terminate Antivirus and EDR Bypass

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《暗网兜售NtKiller恶意软件，可终止杀毒软件并绕过EDR防护》