文章总结： ESET报告揭露Gentlemen勒索组织通过集中化EDR杀手工具包降低加盟门槛，其核心GentleKiller框架包含8个变种，利用BYOVD技术针对48家安全厂商的400余个进程，包括国产深信服全系列进程及奇虎360驱动。该组织采用统一伪装层和基于FortiGate配置的全球目标筛选策略，凸显端点防护与驱动签名机制的双重安全挑战。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,红队,安全工具

解密Gentlemen勒索组织的EDR武器库——48款安全软件（国产两款）如何被一套框架系统性击穿

原创

网空闲话 网空闲话

网空闲话plus

2026年6月21日 07:27 北京

在小说阅读器读本章

去阅读

在勒索软件即服务(RaaS)的生态中，一个长期被默认的分工是：运营者提供加密器与赎金谈判基础设施，而如何突破目标网络的端点防护，则落在加盟者自己头上。ESET近年的事件分析一再印证这一模式，仅RansomHub等极少数团伙曾自研EDRKillShifter并交付加盟者使用。然而，2025年末兴起的Gentlemen团伙选择了截然不同的路径——运营者主动为加盟者开发并维护一整套EDR杀手工具包。

ESET于2026年6月18日发布的深度报告，完整揭露了这一机制。早在2026年2月，研究人员就从多次互不相关的入侵事件中发现同一模式：GentleKiller及其他工具被统一释放至名为GentlemenCollection的目录。随后Group-IB和Check Point的独立报告均指出，Gentlemen向经过验证的加盟者提供EDR查杀能力。2026年5月，该团伙内部数据意外泄露，头目zeta88(“hastalamuerte”的另一化名)在内部讨论中直接谈及维护和分发EDR杀手包，为ESET的假设提供了决定性证据。PRODAFT于2025年10月17日的推文补充了关键背景：Gentlemen运营者此前曾是Qilin、Embargo、LockBit、Medusa和BlackLock的加盟者，深知防御突破工具的实战价值。为吸引加盟者，该团伙开出高达90%的赎金分成。

正是这一将EDR查杀能力中心化的策略，使Gentlemen在2026年第一季度跃升为全球五大最活跃勒索软件团伙之一。

一、GentleKiller的八个面孔——共享模板与快速变异

GentleKiller是整个套件的核心，也是ESET评估“高置信度”认为系Gentlemen自行开发的唯一工具。已发现的八个变种虽冒充不同产品、滥用不同驱动，但在剥离伪装层和驱动差异后，“底层代码展现出大量结构和行为共性，强烈提示使用了共享的开发模板”。ESET列举了模板的关键特征：跨变种一致的字符串、以循环方式周期性终止进程、覆盖广泛的安全产品集合，以及相同的代码混淆技术。

八个变种的完整对应关系如下：

| 变种名称 | 伪装对象 | 滥用驱动及来源 | 驱动性质 | | — | — | — | — | | Kaspersky | 卡巴斯基 | eb.sys | 自定义Rootkit(PoC) | | FACEIT Anti-Cheat | FACEIT反作弊 | nseckrnl.sys(NSecsoft NSecKrnl) | 反作弊驱动(PoC) | | Valorant | 无畏契约 | GameDriverX64.sys(Tower of Fantasy反作弊) | 反作弊驱动(PoC) | | Javelin | EA反作弊 | stpm_old.sys/stpm_new.sys(Safetica Process Monitor Driver) | 两个版本存在漏洞的监控驱动(PoC) | | WatchDog | BitDefender | dmx.sys(Zemana WatchDog反恶意软件驱动) | 反恶意软件驱动(PoC) | | Network Blocker | Malwarebytes | 360netmon_wfp.sys(奇虎360 Technology) | 存在漏洞的驱动(PoC) | | Cleaner | 系统清理工具 | IMFForceDelete(IObit强制删除过滤驱动) | 驱动落地时故意省略.sys扩展名(PoC) | | G11 | G11/赛门铁克 | PoisonX | Rootkit(PoC) |

该框架的设计逻辑在于以最小化开发成本实现最大化的驱动适配。不同变种可挂载不同驱动实现内核级权限获取，而进程终止逻辑、循环机制和字符串混淆则保持恒定。正是这种结构，使Gentlemen能够在新的BYOVD概念验证公开后“数天内”完成武器化集成。ESET明确提及，UnknownKiller和PoisonKiller两套PoC均在公开发布后的几天内就被GentleKiller框架吸收。

二、48家厂商、400余个进程——一张精准的猎杀清单

GentleKiller的进程目标清单是理解其威胁边界的关键。ESET详细列出了所有目标进程，并借助AI将进程名映射到对应的安全厂商。最终映射结果显示，GentleKiller针对与48家安全产品厂商相关的400余个进程。

以下为主要被猎杀厂商及其代表性进程：

| 厂商 | 被猎杀进程数(部分列举) | 代表性进程示例 | | — | — | — | | Sophos | 20+ | SophosFS.exe、SophosHealth.exe、SophosMTR.exe、hmpalert.exe、SSPService.exe | | 卡巴斯基 | 15+ | avp.exe、avpui.exe、kavfs.exe、klserver.exe、ksde.exe | | McAfee/Trellix | 15+ | masvc.exe、macmnsvc.exe、mfeann.exe、mfevtps.exe、mfefire.exe | | Bitdefender | 12+ | bdservicehost.exe、bdagent.exe、bdredline.exe、Arrakis3.exe | | 微软Defender | 15+ | MsMpEng.exe、MsSense.exe、SenseIR.exe、windefend.exe | | SentinelOne | 11 | SentinelAgent.exe、SentinelServiceHost.exe、SentinelStaticEngine.exe | | 深信服(Sangfor) | 11 | CSAAgent.exe、CSAService.exe、SangforAgent.exe、SangforEDR.exe、SangforProtect.exe、SangforService.exe、SangforMonitor.exe、SangforInterface.exe、SangforCSA.exe、SangforTray.exe、SangforUD.exe | | ESET | 10 | ekrn.exe、egui.exe、eamonm.exe、ecls.exe、ERAAgent.exe | | CrowdStrike | 7 | CSFalconService.exe、CSFalconContainer.exe、CSFalconUI.exe |

需要特别指出的是，深信服是中国本土EDR厂商中唯一被如此全面覆盖的案例，11个核心进程无一遗漏。而奇虎360的安全软件进程并未出现在猎杀清单中——但GentleKiller的Network Blocker变体明确利用了360公司开发的360netmon_wfp.sys驱动程序作为BYOVD武器，以获取内核级权限并终止其他安全产品。这意味着中国安全软件面临双重风险：一是国产EDR产品本身被列为直接清除目标，二是国产合法驱动被用作攻击跳板。

三、统一的伪装层——让归因变得困难

Gentlemen运营者对所有EDR杀手——包括并非自行开发的第三方工具——均施加了一套标准化的防御规避层。这套层并非在源代码层面实现，而是针对已编译样本的后处理，意味着即便不掌握源代码的外部工具也能被加上统一的伪装。

具体手法涵盖三个层面：其一，商业保护器加壳，Enigma或Themida应用于大量样本，文件名后缀即标识所用保护方式(1=Enigma+假签名+假版本信息，2=Themida+假签名+假版本信息，Light=无壳但有伪装，Clear=无壳无伪装)；其二，文件名精心设计，使其接近知名网络安全厂商的产品名(如Kasp.exe、Avast.exe、Sophos.exe、Sent.exe)；其三，假冒数字身份，版本信息被伪造，图标和无效数字签名从合法程序复制而来，且文件名、版本信息、图标和签名均指向同一被冒充厂商，构成一套完整的虚假身份体系。ESET报告指出，虽然少量样本存在偏差，“绝大多数观察到的EDR杀手都遵循这一模式”。

四、工具箱的外部组件——HexKiller、ThrottleBlood与HavocKiller

除GentleKiller外，ESET在GentlemenCollection目录中还发现至少三种外来EDR杀手，它们被施加相同的伪装层后投入使用。

HexKiller此前被ESET评估为Warlock团伙的专属工具，其出现在Gentlemen入侵事件中“出乎意料且值得注意”。该工具滥用百度杀毒的BdApi驱动(落地为googleApiUtil64.sys)。ESET谨慎指出，这并不必然暗示两团伙间存在直接协作——Gentlemen可能通过私密交换、二次分发渠道或样本泄露等间接手段获取。

ThrottleBlood则与MedusaLocker和DragonForce的加盟者攻击活动相关，其驱动为TechPowerUp LLC的ThrottleBlood.sys。ESET认为，该工具可能在暗网市场流通，或原本由MedusaLocker运营者开发后共享给加盟者，部分加盟者又与DragonForce存在关联，但对其如何流入Gentlemen尚无定论。

HavocKiller于2026年1月23日即出现在真实入侵中，远早于Huntress在同年3月19日的公开发布。该工具滥用华为音频驱动(落地为havoc.sys)。ESET指出，其底层实现与GentleKiller存在实质性差异，故判断该工具系通过外部途径获得后经操作层面改造。

五、按配置选目标，不按地图——打破美国中心化的受害者分布

Gentlemen的受害者地域分布构成其另一显著特征。Qilin、DragonForce和Akira等主要团伙通常有约半数受害者集中在美国，而Gentlemen尽管位列2026年Q1五大最活跃团伙，其受害者却广泛分布于东南亚、南美和西欧，包括泰国、巴西和法国等在勒索软件生态中相对少见的国家。

导致这一差异的原因在于目标筛选机制。ESET通过分析内部泄露数据发现，Gentlemen采用集中化的方式筛选可行目标，然后分配给加盟者实施，而选择受害者的主要依据“并非地理位置，而是FortiGate的(错误)配置”。这种基于漏洞配置而非地域的狩猎策略，既解释了受害者分布的全球分散化，也使那些普遍使用FortiGate设备而端点防护薄弱的地区成为潜在优先目标。

六、额外拼图——OxideHarvest凭证窃取器与运营者身份曝光

除EDR杀手外，ESET在调查中还发现一款用Rust编写的凭证窃取工具，命名为OxideHarvest(亦称buildx641)。Rust并非Gentlemen偏好的编程语言，因此ESET将该工具归因于加盟者quant。泄露数据最终帮助ESET确认OxideHarvest与buildx641为同一工具。该窃取器针对Chrome、Edge、Firefox、Brave、Opera、OperaGX、Vivaldi、Waterfox等20余款浏览器，通过命令行参数接收目标主机列表、用户名、密码、线程数和输出文件，利用多线程远程登录并批量窃取凭证。

2026年6月10日，安全记者Brian Krebs公布了hastalamuerte真实身份的进一步证据。根据Krebs报道，威胁情报服务Constella Intelligence发现其Telegram ID关联到另一个用户名“bu4vs”及俄罗斯手机号79127650004，交叉查询多个遭入侵的俄罗斯政府数据库后，确认该号码属于来自伊热夫斯克的36岁俄罗斯公民亚历山大·安德烈耶维奇·亚帕耶夫。

七、行业视角与防御启示

ESET在报告结论中给出整体研判：“Gentlemen展示了一种有趣的思路——由运营者管理的EDR杀手，加盟者即插即用。大多数勒索软件团伙继续将EDR查杀任务委派给加盟者，Gentlemen则选择将这一功能集中化，为加盟者提供一套标准化、可随时使用的EDR杀手套件。这一决定大大降低了加盟者的进入门槛，使他们的工作更为轻松，也使Gentlemen成为极具吸引力的运营商。”SecurityAffairs的Pierluigi Paganini在6月20日的跟进报道中强调，“真正使其与众不同的，不是勒索软件有效载荷，而是他们在有效载荷运行之前就交给加盟者的EDR杀手工具”。BleepingComputer的Bill Toulas则聚焦于归因挑战：“即便某个恶意工具样本实际上是Gentlemen基础设施在攻击中使用的，也可能看似其他人开发的。”

GentleKiller的进程清单此次随ESET报告全文公开，意味着安全运营团队已拥有一个可操作的威胁狩猎基线。ESET建议，理解GentleKiller的工作原理能够帮助防御者设计更优的防御策略，“甚至能够防御尚未开发出来、即将加入Gentlemen EDR杀手武器库的新增工具”。当勒索软件的供应链从加密器向防御突破工具延伸，防御侧的同步进化已非可选项，而是必答题。

【闲话简评】

GentleKiller猎杀清单中，深信服Sangfor的11个进程被全量列入，涵盖代理、服务、监控、界面、升级等全部功能模块，构成对中国本土EDR产品的系统性针对性打击。同时，奇虎360的合法驱动程序360netmon_wfp.sys被Network Blocker变体用作BYOVD武器，虽进程未被直接猎杀，但其驱动沦为攻击跳板，同样暴露了国产软件供应链的脆弱性。双重风险警示我们：国内安全厂商必须在驱动签名与加载机制上实施更严格的防滥用设计，政企机构则应将Sangfor进程异常终止和未知驱动加载列为高优先级告警指标。仅依赖进程自保护，已远不足以应对GentleKiller这一量级的威胁。

参考文献

[1] Jakub Souček, “Killing me gently: Inside Gentlemen’s EDR killer framework,” ESET Research, WeLiveSecurity, Jun. 18, 2026. [Online]. Available: https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/

[2] Pierluigi Paganini, “Inside GentleKiller: The EDR-Killer Powering The Gentlemen,” SecurityAffairs, Jun. 20, 2026. [Online]. Available: https://securityaffairs.com/193941/uncategorized/inside-gentlekiller-the-edr-killer-powering-the-gentlemen.html

[3] SecurityLab.ru, “杀毒软件？没问题。新型勒索软件团伙一次性破坏了48款产品的防护。” Jun. 20, 2026. [Online]. Available: https://www.securitylab.ru/news/573958.php

[4] Bill Toulas, “Gentlemen ransomware uses multiple EDR killers to disable defenses,” BleepingComputer, Jun. 18, 2026. [Online]. Available: https://www.bleepingcomputer.com/news/security/gentlemen-ransomware-uses-multiple-edr-killers-to-disable-defenses/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《解密Gentlemen勒索组织的EDR武器库——48款安全软件（国产两款）如何被一套框架系统性击穿》