2024年,企业花在EDR(端点检测与响应)上的安全预算同比增长了34%。但Cisco Talos的最新发现让这笔钱显得有点尴尬:一个名为Qilin的勒索软件团伙,用单个恶意DLL就能让市面上几乎所有主流EDR产品集体失明。
这个被追踪为Agenda、Gold Feather、Water Galura的团伙,月均认领40+受害者,活跃度在勒索软件即服务(RaaS)生态中排进前三。他们的新玩具不是零日漏洞,而是一场精心设计的"特洛伊木马"——把恶意代码藏进Windows系统最不起眼的角落。
攻击链:从一份PDF文档开始
整个入侵的起点,是你每天都会双击的东西:PDF阅读器。
攻击者诱导用户运行合法程序FoxitPDFReader.exe,但这个exe在启动时会尝试加载系统库msimg32.dll——一个负责图像处理的Windows组件。Qilin的恶意DLL就蹲在这个调用路径上,完美顶替正版文件。
为了不被发现,这个冒牌货做了一件很"敬业"的事:把所有API请求转发给真正的C:\Windows\System32\msimg32.dll。用户正常阅读PDF,后台却在DllMain里悄悄启动恶意逻辑。这种"代理模式"让恶意DLL在行为监控眼里,看起来就是个老老实实的系统组件。
恶意代码本身经过三层加载器加密,最终在内存中解密执行,全程不落盘。Cisco Talos的研究人员拆解后发现,这套加载链专门设计了针对EDR的"致盲"流程——在勒索软件部署前,先让安全产品变成聋子瞎子。
300+驱动名的死亡名单
Stage 4的最终载荷是一个内核级EDR杀手。它携带两张硬编码的驱动列表:rwdrv.sys和hlpdrv.sys作为"武器",以及一份超过300个EDR驱动名的"黑名单"。
名单覆盖了你能想到的所有主流厂商。攻击者通过物理内存写入,直接注销这些驱动的监控回调函数——包括进程创建、线程创建、镜像加载等关键事件。这意味着EDR内核模块还在运行,但已经收不到任何情报。
更精细的操作是临时篡改CiValidateImageHeader回调:把它替换成一个永远返回true的函数,关闭代码完整性校验,让恶意驱动能顺利加载。攻击结束后再恢复原值,清理现场。
这套手法的阴险之处在于,它不是在"杀死"EDR进程——那样会触发警报。而是让EDR"活着但看不见",在日志里几乎不留痕迹。
加载器还内置了地理围栏:检测到系统语言属于前苏联国家时自动终止执行。这个白名单机制,加上俄语系黑客常见的操作习惯,让Qilin的归属指向性相当明显。
EDR军备竞赛的临界点
Qilin不是第一个玩EDR杀手的团伙,但把这件事做成了"标准化流程"。
Cisco Talos在报告中提到一个值得玩味的判断:这些技术本身不算新颖,但在多层防御配置不当的环境里依然百试百灵。翻译一下——不是EDR不行,是太多人买了EDR却没买对配套措施。
攻击链暴露了几个具体的检测点:可疑的DLL侧加载、rwdrv.sys/hlpdrv.sys的意外安装、用户态程序尝试写入物理内存。这些行为在单点防御里可能被忽略,但在多层级监控中会形成明显的关联图谱。
Qilin的月均40+受害者数据,某种程度上验证了"EDR杀手+勒索软件"这套组合拳的投产比。当防御层本身成为首要攻击目标,安全架构的设计逻辑需要重新校准——你不能再假设监控工具是可信基线,而要把它们也纳入威胁模型。
企业安全团队现在面临的问题是:当你的EDR被设计成能监控一切,它自己也成了高价值目标。Qilin的操作手册表明,顶尖勒索团伙已经把"致盲防御层"列为标准作业程序。这份300+驱动名的黑名单,本质上是一份行业脆弱性地图——上面有你用的产品吗?
热门跟贴