文章总结： 麒麟勒索软件组织采用恶意DLL侧加载技术，通过绑定合法软件实现EDR系统的大规模绕过与关闭，影响超300种EDR驱动。攻击策略升级为优先削弱防御能力，利用msimg32.dll转发正常API调用以隐蔽恶意行为。应对建议包括启用应用白名单、强化EDR自防护、构建多层检测体系、监控异常DLL加载、实施最小权限原则及部署不可篡改备份。 综合评分： 85 文章分类： 恶意软件,终端安全,解决方案,安全运营,漏洞分析

麒麟勒索软件几乎摧毁所有EDR解决方案

安小圈

2026年4月9日 08:45 上海

以下文章来源于河南等级保护测评 ，作者铸盾安全

河南等级保护测评 .

等级保护，不只是等级测评！一起探讨更全面的等级保护制度！ 做对用户有真实价值的网络安全服务，等级保护测评、风险评估、网络安全培训、网络安全咨询、网络安全合规。 传播网络安全知识，分享网络安全政策，共建风清气正的网络安全氛围。

安小圈

第890期

根据最新研究报道，勒索软件组织Qilin（又称Agenda） 正在采用一种高度隐蔽且针对性极强的攻击技术，通过恶意DLL实现对主流EDR安全产品的大规模绕过甚至关闭。这一技术显著提升了攻击成功率，也使传统终端防护体系面临严峻挑战。与以往直接部署勒索程序不同，该组织更强调在攻击初期“削弱防御能力”，体现出攻击策略的明显升级。

此次攻击的核心手段是利用名为msimg32.dll的恶意动态链接库，通过DLL侧加载（DLL sideloading）方式实现代码执行。攻击者将该恶意DLL与合法软件（如PDF阅读器等）进行绑定，当程序启动时优先加载攻击者控制的DLL，从而在不影响正常业务运行的情况下执行恶意逻辑。为了进一步降低被检测的概率，该DLL还会将正常API调用转发至系统原始库文件，表现出“功能正常但行为恶意”的特征，使安全系统难以及时识别。

更具威胁性的是，该恶意DLL被专门设计用于关闭或绕过EDR系统。据披露，其可影响超过300种EDR驱动程序，一旦执行成功，终端安全监控将基本失效。在这种情况下，攻击者可以在系统中自由开展后续操作，包括横向移动、敏感数据收集以及最终的勒索加密，而整个过程几乎不会被记录或触发告警。这种“先致盲、再攻击”的模式，标志着勒索软件攻击正从传统破坏型向高隐蔽渗透型转变。

从技术本质上看，该事件反映出当前攻击演进的几个重要方向。首先，防御绕过能力已经从辅助技术演变为攻击链的核心环节，攻击者优先解决“如何不被发现”。其次，合法工具滥用（LOLBins）成为主流手段，攻击行为越来越接近正常系统操作，显著提高检测难度。再次，攻击者开始针对主流安全产品进行反向研究，实现批量化绕过能力，说明攻防对抗已进入更高阶段。

| | | — | | 攻击技术本质分析 该事件反映出三个关键技术趋势： 1. 防御绕过成为攻击链核心 过去EDR绕过是“附加能力”，现在已成为攻击前置步骤。 2. 合法工具滥用（LOLBins）普遍化 * 利用合法软件加载恶意DLL * 利用系统组件掩护行为 攻击越来越“像正常操作” 3. 安全产品被“反向研究” 攻击者已针对主流EDR进行定向开发，实现规模化关闭能力。 安全应对之策（重点）（1）防DLL侧加载攻击 关键措施： * 启用应用白名单（Application Control） * 限制程序加载路径（DLL搜索路径控制） * 对关键应用启用DLL签名验证 核心目标：阻断“合法程序加载恶意DLL” — （2）强化EDR防护能力（防“被关闭”） 传统EDR已不够，需要增强： * 启用Tamper Protection（防篡改保护） * 部署内核级保护机制（Kernel Protection） * 增加EDR自保护与完整性校验 原则：安全工具必须“不可被轻易关闭” （3）引入多层检测（避免单点失效） 不能只依赖EDR，应构建纵深防御： * EDR + NDR（网络检测） * SIEM + UEBA（行为分析） * 日志集中与不可篡改存储 即使终端被“致盲”，仍可通过网络或日志发现异常 （4）检测DLL劫持与异常加载行为 重点监控： * 非系统路径加载系统DLL * 应用目录中出现异常DLL文件 * DLL加载顺序异常 建议结合： * Sysmon * 文件完整性监控（FIM） （5）最小权限与凭证保护 Qilin攻击往往结合横向移动： * 禁止本地管理员泛滥 * 启用MFA（尤其VPN/RDP） * 使用PAM（特权访问管理） 防止“EDR被关闭后全面失控” （6）攻击链检测能力建设（重点） 建立对以下行为的检测： * 安全软件进程被终止 * 驱动加载异常（BYOVD行为） * 系统关键服务异常停止 这些是“攻击即将爆发”的强信号 （7）勒索软件专项防护 * 离线/不可篡改备份（Immutable Backup） * 数据加密与访问控制 * 数据外泄监测（DLP） 应对“双重勒索（加密+泄露）” |

针对上述威胁，企业在防护策略上需要进行系统性调整。首先，应重点防范DLL侧加载攻击，例如通过应用白名单机制、限制程序加载路径以及启用DLL签名验证等方式，从源头阻断恶意DLL的执行路径。其次，需要强化EDR自身防护能力，包括启用防篡改机制、增强内核级保护以及确保安全组件不可被轻易关闭，从而避免成为攻击链中的薄弱环节。

同时，企业不能再单一依赖EDR，应构建多层防御体系。例如通过引入网络检测与响应（NDR）、安全信息与事件管理（SIEM）以及用户行为分析（UEBA）等手段，实现跨层监测与关联分析。即使终端防护被绕过，也能通过网络流量、日志行为等侧面发现异常活动，从而提升整体检测能力。

在具体检测层面，应加强对异常DLL加载行为的监控，如非系统路径加载系统库文件、应用目录中出现异常DLL、加载顺序异常等。此外，还应重点关注安全软件进程被终止、驱动加载异常以及系统关键服务被关闭等行为，这些往往是攻击即将进入关键阶段的重要信号。

在权限与账户安全方面，应严格执行最小权限原则，减少本地管理员权限的滥用，并在远程访问场景中全面启用多因素认证。同时，通过特权访问管理（PAM）控制高权限账户的使用，防止在防护失效后攻击者迅速扩大控制范围。

最后，在勒索软件应对层面，应建立完善的数据保护机制，包括部署不可篡改的离线备份、加强数据访问控制以及引入数据外泄监测能力，以应对当前常见的“双重勒索”模式（加密+数据泄露）。总体来看，该事件表明网络攻击已进入以“对抗安全系统”为核心的新阶段，企业必须从单点防护转向“纵深防御+持续检测”的体系化安全建设模式。

END

【以上内容来源自：河南等级保护测评】

看完本文再也不怕网安通报“明文传输” “TLS版本低”漏洞了

两名网络安全专家利用勒索软件攻击企业 委托自己联系自己谈赎金聊一聊网络安全公司的内部争斗

• 国家出手！网络安全产业低价中标乱象能否终结？

• 网络安全行业还会好起来吗?**

*** *《网络安全法》完成修改，自2026年1月1日起施行*

• 网络安全法修改了哪些内容？（附详细对照表）

• 全球三大网络安全巨头同时被黑

• 网安：亏损 TOP 10

• 中国联通DNS故障敲响警钟：DNS安全刻不容缓

• 全球超120万个医疗系统公网暴露：患者数据或遭窃取 中国亦受影响

• 个人信息保护负责人信息报送系统填报说明（第一版）全文

• 高度警惕：不明黑客组织攻击中国国防、能源、航空、医疗、网安等重点行业

• 攻防演练在即：如何开展网络安全应急响应

• 【攻防演练】中钓鱼全流程梳理

• [一文详解]网络安全【攻防演练】中的防御规划与实施

• 攻防必备 | 10款国产“两高一弱”专项解决方案

• 【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单

• 攻防演练在即，10个物理安全问题不容忽视

• 红队视角！2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)

• 【攻防演练】中钓鱼全流程梳理

• 攻防演练在即：如何开展网络安全应急响应

• 【零信任】落地的理想应用场景：攻防演练

• 网安同行们，你们焦虑了吗？

• # 网安公司最后那点体面，还剩下多少？

• 突发！数万台 Windows 蓝屏。。。。广联达。。。惹的祸。。。

• # 权威解答 | 国家网信办就：【数据出境】安全管理相关问题进行答复

• # 全国首位！上海通过数据出境安全评估91个，合同备案443个

• # 沈传宁：落实《网络数据安全管理条例》，提升全员数据安全意识

• 频繁跳槽，只为投毒

• 【2025】常见的网络安全服务大全（汇总详解）

• AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿)，附下载

**

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安小圈 《麒麟勒索软件几乎摧毁所有EDR解决方案》