ESET研究人员深入挖掘EDR杀手生态系统，揭示攻击者如何滥用易受攻击的驱动程序

ESET研究人员深入挖掘EDR杀手生态系统，揭示攻击者如何滥用易受攻击的驱动程序

近年来，EDR杀手已成为现代勒索软件入侵中最常见的工具之一：攻击者获得高权限，部署此类工具破坏保护，然后才启动加密器。除了主导的“自带漏洞驱动”（BYOVD）技术外，我们还经常看到攻击者滥用合法的反rootkit工具或使用无驱动方法，阻断端点检测与响应（EDR）软件的通信或将其暂停。这些工具不仅数量众多，而且表现可预测且一致，这正是联盟营销者选择它们的原因。

在这篇博客文章中，我们将基于ESET遥测和事件调查，介绍我们对EDR杀手的看法。该研究基于对近90种在野外活跃使用的EDR杀手的分析和追踪。我们的关注点超越了大多数讨论中主导的弱势因素：我们记录了联盟如何选择、适应和操作真实入侵中的EDR杀手，以及这对归因和防御意味着什么。

我们解释了为何以驾驶为中心的分析常常误导群体归属，展示了驱动程序重复使用和跨无关代码库切换的具体案例，并强调了无驾驶颠覆与商业化、强化套件的增长。结果是清晰且基于证据的图景，展示了EDR杀手如何作为现代勒索软件行动中可预测的阶段运作。

这篇博客文章的要点：

• EDR杀手是现代勒索软件入侵的基本组成部分;联盟成员更喜欢在短暂可靠的时间窗口内运行加密器，而不是不断修改有效载荷。
• 合作伙伴而非运营商选择EDR的杀手;更大的联盟池带来了更大的工具多样性。
• 同一个驱动会出现在无关的工具中，而且同一个工具可以在不同驱动之间迁移。因此，基于驾驶员的群体归属往往具有误导性。
• 包装器即服务和“EDR杀手产品”增加了可用性、模糊归因，并增加了防御复杂性。
• EDR杀手实施防御规避技术，而加密者则专注于加密。
• 我们强烈怀疑AI协助开发了一些EDR杀手，并以Warlock帮派为例。
• 虽然BYOVD占主导地位，但也使用自定义脚本、反rootkit和无人驾驶EDR杀手。

EDR杀手格局

ESET研究人员关注的焦点超越了这些工具常被滥用的弱势驱动因素。正如我们将展示的，仅仅基于被滥用驱动因素来建立联系是不充分的，可能导致错误的假设。

这项研究揭示的领域极为广泛，从无休止的概念验证（PoC）分支到复杂的专业实现。专注于商业EDR杀手（在暗网上宣传）让我们能更好地了解他们的客户群，发现那些原本隐藏的关联。内部开发的EDR杀手提供了对封闭群体内部运作的洞见。此外，氛围编码让事情变得更加复杂。我们在“EDR杀手背后的技术”部分提供了EDR杀手的技术概述，包括易受攻击的司机。

截至撰写本文时，我们对EDR杀手市场的见解基于以下几点：

• 我们共检测到近90个EDR杀手，基本上被任何大小勒索软件团伙在野外积极使用：其中54个是基于BYOVD，共虐待35名易受攻击的司机，其中 7 个是基于文字的，其中15个是反rootkit或其他免费可用的软件。
• 对于24个基于BYOVD的EDR杀手，我们不知道它们基于的公开PoC;我们评估他们的开发者是从零开始实现这些工具，仅受到驱动漏洞代码的启发。

在这篇博客文章中，我们对构成勒索软件即服务模式的实体进行了如下介绍：

• 运营者负责开发勒索软件载荷、管理解密密钥、维护专用泄露点，通常与受害者协商赎金支付，并以月费或赎金支付的比例（通常为5%至20%）提供其他工具和服务。
• 关联公司向运营商租用勒索软件服务，向受害者网络部署加密器，并从受害者的机器中窃取数据。

为什么EDR杀手如此受欢迎？

要成功加密数据，勒索软件加密者需要规避检测。如今，成熟的规避技术种类繁多，从打包和代码虚拟化到复杂的注入。然而，我们很少看到这些技术被加密器实现。相反，勒索软件攻击者选择使用EDR杀手，在加密器部署前破坏安全解决方案。这种不同的方法自然引发了一个问题：为什么不投资于让加密器不被发现？

加密器开发者的可靠性和操作简便性

勒索软件团伙，尤其是那些拥有勒索软件即服务（RaaS）项目的，经常会生成新的加密软件版本，确保每一个新版本都能可靠地不被发现非常耗时。更重要的是，加密器本身噪声很大（因为它们需要在短时间内修改大量文件）;让这种恶意软件不被发现相当具有挑战性。EDR杀手提供了更干净的替代方案。攻击者不再在每次加密更新中埋藏规避检测的逻辑，而是依赖外部工具在执行前立即破坏或禁用安全控制，保持加密的简单、稳定且易于重建。

低成本，高功率

正如本博客文章中所展示的，EDR杀手极其容易获得。并非所有入侵者或关联者都有能力自行制定防御规避策略。但由于大量公共PoC的存在，EDR杀手基本上已经变成了“即插即用”。

与此同时，EDR杀手往往依赖合法但易受攻击的驱动，这使得防御变得极为困难，同时又不至于破坏遗留或企业软件。结果是一类工具以最小的开发工作量实现内核级影响，使得这些工具因其简单而异常强大。

入侵期间的可预测性和重复性

打包或注入代码可能帮助植入物躲避检测，但无法保证勒索软件载荷在入侵最终阶段的长期稳定性。由于安全产品提供的分层保护，打包加密器仍可能在内存或执行的其他阶段被检测到。而EDR杀手则为攻击链提供了可预测且可重复的步骤，使攻击者拥有更确定的工作流程。此外，EDR杀手还旨在破坏整个安全解决方案，实际上消除所有保护层。

EDR杀手背后的技术

剧本

最简单的EDR杀手不依赖易受攻击的驱动程序或其他高级技术。相反，他们滥用内置的管理工具和命令，如任务杀机、网络停止或 SC 删除，来篡改安全产品的流程和服务。这些粗糙的方法偶尔仍会出现，但现在大多与低技能勒索软件威胁行为者和商品恶意软件相关。

稍为复杂的变体将脚本与Windows安全模式结合。由于安全模式只加载操作系统的极小部分，且通常不包含安全解决方案，恶意软件更有可能禁用保护。同时，这种活动噪声很大，因为需要重启，在未知环境中重启既危险又不可靠。因此，在野外只偶尔可见。

灰色地带：反根套件

多年前，在Microsoft强制内核模式驱动签名之前，rootkit在网络犯罪生态系统中盛行，通过操控内核结构隐藏恶意活动。它们的普及促使开发了专门的反根套件工具，用于检测和移除这些问题。由于rootkit在内核模式下运行，这类工具自然需要高权限和自身驱动来发现、枚举和中和rootkit。

如今，勒索软件关联机构经常滥用这些反rootkit工具：不是用来移除rootkit，而是用来瘫痪安全解决方案。许多反rootkit提供用户友好的图形界面，允许用户（包括技术能力有限的攻击者）终止受保护进程或服务。换句话说，合法的修复工具在滥用时已成为便捷的EDR杀手。此类工具包括GMER（见图1）、HRSword和PC Hunter。

根套件

尽管rootkit在现代网络犯罪中较为罕见，但仍有显著例外出现。去年的一个例子是ABYSSWORKER，这是一个内核模式的rootkit，其开发者利用从中国公司盗来的证书成功签名而引起关注。这些证书也曾用于签署其他恶意软件，因此并非针对ABYSSWORKER的特有。由于被盗证书属于可信证书链，因此该驱动仍可在内核中运行。更复杂的是，即使是证书吊销也不是万无一失的选项，正如最近猎手所证明的那样。

易受影响的司机

BYOVD技术已成为现代EDR杀手的标志：主导、可靠且广泛使用。在典型情况下，攻击者会将一个合法但易受攻击的驱动程序投放到受害者机器上，安装驱动后，运行恶意软件利用该驱动程序的漏洞。其目标是终止受保护进程或禁用安全产品依赖的回调功能。

虽然有成千上万的合法易受攻击驱动，但在勒索软件事件中被积极利用的只有相对较小的一部分。然而，公开的PoC的可用性意味着威胁行为者可以采用或调整针对这些漏洞的利用方法的数量几乎没有限制。有些攻击者以极少甚至不做修改的方式重用现有代码库，有些则不改逻辑但用他们偏好的编程语言重新实现，甚至有些开发了全新的EDR杀手（只保留原代码中一小部分用于驱动利用），这些代码要么单独使用，要么作为服务提供。

无人驾驶EDR杀手

最终，一类规模较小但不断增长的EDR杀手在完全不触及内核的情况下实现了目标。这些工具不仅无法终止EDR流程，反而干扰了其他关键功能。例如，EDRSilencer等工具阻止终端与其安全后端之间的通信，以及EDR-Freeze，使EDR进程“卡顿”或无响应。这些无人驾驶技术之所以受欢迎，是因为它们非常规的方法使得探测和缓解更加困难，而且它们是公开可用的。事实上，ESET研究人员发现勒索软件威胁行为者在几天内迅速采用了这些工具。

谁在开发EDR杀手？

2025年，ESET研究人员发表了对EDRKillShifter的分析，该EDR杀手由RansomHub运营商开发，并直接提供给其关联方。截至撰写本文时，我们尚无其他RaaS项目的运营商提供自有的EDR杀手。这使得现已关闭的RansomHub成为勒索软件领域的一个显著例外。

相反，大多数威胁行为者可归入以下几类之一：

• 非RaaS的帮派开发自己的EDR杀手，
• 攻击者分叉并稍作修改公开的概念验证代码，或者
• 攻击者从地下市场购买EDR杀手。

让我们更详细地分析这些情况。

闭群

非RaaS团队通常以完全封闭的生态系统形式运作：没有联盟成员，没有初始访问经纪人，也没有外部合作伙伴。这些团队对其入侵工作流程保持严格控制，通常依赖一套可重复且内部一致的TTP。鉴于这种运营纪律，开发自己的EDR杀手工具成为工具的自然延伸。

ESET研究人员在2024年通过Embargo团队展示了这种内部开发模式的一个早期例子。当时，Embargo依赖两款EDR杀手：

• 一个自定义的安全模式脚本，利用了前面提到的技术，
• MS4Killer，一个受公开的 s4killer PoC 启发的工具。

尽管MS4Killer基于现有的PoC，其开发者做出了重大改动：增加了并行性，修改了代码流，并加密了字符串和嵌入式驱动程序。自该研究发表以来，Embargo又转向了另一个公开PoC——evil-mhyprot-cli，这次代码修改极少。

第二个较新的例子是DeadLock帮派。DeadLock通过避免设立专门的泄密地点，并通过Session进行所有谈判，Session是常见毒理的流行替代方案，保持低调。ESET的研究人员观察到DeadLock使用了两个EDR杀手DLKiller（Cisco Talos也提到过未命名加载器）和Susanoo，以及反rootkit如GMER和PC Hunter。ESET研究人员认为，由于存在显著但不确定的代码相似性，DLKiller和DeadLock加密器是同一开发者所为，但信心较低。有趣的是，Susanoo提供了加载界面和图形界面，均见图2，允许手动操作，并期望攻击者能够互动访问受害者的机器。

正如截图清楚展示的，Susanoo提供了预加载监控进程列表的按钮——一个专门针对Sophos相关进程的按钮，另一个“TNT”针对Susanoo已知的所有流程。

第三个也是最后一个例子是术士。尽管Warlock泄露网站自11月6日以来一直保持沉默^th该组织仍在运作，并不断扩展其技术武器库。该团队以敢于尝试实验著称：他们将VS代码滥用技术应用于隐秘远程访问，该技术早在2024年9月就已被记录，并被Mustang Panda APT团队使用，同时也开创了迅猛龙的恶意使用。从那时起，Warlock一直依赖这些技术。其加密方法也反映了这一模式——Warlock长期使用了多种不同的加密器，从定制到基于Babyk或使用泄露的LockBit Black构建器生成的变体。

鉴于这些，Warlock对EDR杀手的实验并不令人意外。自该团伙首次出现以来，每次入侵都会部署多名EDR杀手，最近行动中甚至数十人，实际上是通过暴力破解找到可行的解决方案。Warlock的工具不仅数量丰富，技术深度也极为丰富：该帮派不局限于单一易受攻击的驱动，迄今至少虐待了九个不同的驱动，其中包括一些没有公开PoC的驱动（至少据我们所知）;这一细节凸显了该组织的技术熟练度以及其在公开领域之外灵活调整进攻工具的能力。

PoC的修改

这是勒索软件入侵中最常见的方法。威胁行为者通常会利用已有且经过充分测试的PoC，并在实际攻击前仅调整非关键组件。这些改造通常包括：

• 删除或更改调试消息，
• 添加代码混淆，
• 调整目标安全产品列表，以及
• 用不同的编程语言重写工具。

关键点是，核心的利用逻辑，尤其是与易受攻击驱动交互的部分，几乎从未改变。这种逻辑通常简单到只需调用Windows API DeviceIoControl，并以“正确”的dwIoControlCode值和终止进程名称在lpInBuffer中调用。虽然重命名字符串、重构代码库或用其他语言重新实现工具这些操作不需要深入的技术知识，但修改利用逻辑则需要，因此通常会避免。

虽然有许多公开的EDR杀手PoC，但有一个仓库尤为突出：BlackSnufkin的BYOVD。该系统定期更新，包含（撰写时）用于利用10个易受攻击驱动的PoC，每个驱动程序都遵循相同的模块化模板实现。实现允许简单的修改、扩展和新驱动支持。此外，代码文档详尽（见图3），使该仓库成为现实中勒索软件活动中使用最频繁的仓库。

我们发现了BlackSnufkin的EDR杀手之一TfSysMon-Killer，该杀手在2025年2月的Monti勒索软件攻击中部署;部署的版本在功能上完全相同，但从Rust重新实现到C++，可能是为了与威胁行为者的其他工具保持一致。另一个语言切换的例子是 dead-av，作者公开将其描述为 Go 版的 GhostDriver，后者是 BlackSnufkin 创作的另一个 PoC。

更广泛的改造努力可见于SmilingKiller，这是一种EDR杀手，最近被ESET研究人员在LockBit和Dire Wolf入侵期间观察到。其开发者受到了kill-floor的启发，这是一款EDR杀手PoC，利用了Avast的“aswArPot.sys”。除了修改调试消息和添加控制流扁平混淆（见图4）外，作者还将被滥用的驱动切换为K7RKScan.sys，这也是BlackSnufkin另一PoCK7Terminator滥用的驱动。

EDR 杀手作为服务

鉴于对EDR颠覆工具的强劲且不断增长的需求，商业EDR杀手的平行市场出现也就不足为奇了。产品种类繁多：有些广告只提供模糊承诺，没有技术细节，而另一些则包含详尽的功能列表、使用说明，甚至视频演示。以下是三个显著的例子。

其中一则广告由Flare于2025年10月披露，来自名为Бафомет的威胁行为者。该威胁行为者宣传了一种EDR杀手，ESET研究人员后来将其命名为DemoKiller。ESET遥测数据确认，DemoKiller曾被麒麟、明和绅士帮派的关联成员使用，我们也曾在一次RansomHouse入侵中观察到它被部署过一次。该广告如图5所示。

另一个付费EDR杀手是ABYSSWORKER根套件，之前在这篇博客文章中讨论过。当与其装载HeartCrypt的加载器组件（ESET研究人员命名为AbyssKiller）结合使用时，这种EDR杀手已成为野外最常见的商业杀手之一。ESET的研究人员见过深渊杀手被美杜莎、龙之军团以及现已解散的黑装帮派成员使用。

最后一个值得注意的例子是我们称之为CardSpaceKiller的EDR杀手。该工具始终使用VX Crypt，这是一个相对较新的打包即服务工具，Sophos于2025年底进行了分析。VX Crypt并非该EDR杀手独有;它也被用于保护其他恶意软件家族，如BumbleBee。据Sophos称，CardSpaceKiller曾出现在涉及Akira、Medusa、Qilin和Crytox的入侵事件中。ESET遥测数据与这些发现相符，并显示在MedusaLocker事件期间部署。分析未拆包的有效载荷，可以立即发现该EDR杀手来自商业产品，开发者试图通过警告处理边缘案例（见图6）。

这类商业宣传工具的性质和价格各不相同。有些声称卖源代码，有些只卖单个版本。价格通常是个人协商的;公开披露的价格从数百美元到数千美元不等。

EDR杀手与人工智能

虽然被滥用的易受攻击驱动的数量相对较少，但现代EDR杀手中属于不同用户模式组件的数量正在迅速增长。鉴于这种激增的数量和多样性，2026年自然会问：人工智能是否助长了这种激增？

确定人工智能是否直接协助生成特定代码库往往几乎不可能。目前没有明确的取证标志能可靠区分AI生成代码与人类编写代码，尤其是在攻击者进行后处理或混淆处理时。然而，ESET研究人员评估，至少一些近期观察到的EDR杀手表现出强烈暗示AI辅助生成的特征。

一个明显的例子出现在Warlock最近部署的EDR杀手中。该工具包含一段代码，不仅打印出可能修复列表（这是AI生成的模板常见模式），而且它不是利用特定驱动程序，而是通过试错机制循环使用多个无关且常被滥用的设备名称，直到找到一个有效的。对应的编码如图7所示。

超越车手

要全面理解EDR杀手生态系统，需要远远超越易受攻击的驱动程序。虽然驾驶员剥削仍是许多工具的主导支柱，但它只是更广泛领域的一部分。我们的研究表明，仅关注驱动因素会掩盖工具、合作伙伴和活动集群之间的有意义关系。

一个关键观察是RaaS生态系统中的分工。运营商通常提供加密器及支持基础设施，但EDR杀手的选择则由合作伙伴负责。这意味着联盟成员池越大，EDR杀手工具的多样性就越大。同时，特定工具在特定集群内的持续重复使用，有助于识别新的关联，加强基础设施连接，并揭示如果只看加密器家族时难以察觉的运营商与关联关系。

驱动重用与切换

公共PoC使驱动利用变得广泛可及，但这也造成了误导性局面：同一个易受攻击的驱动常被重复用于无关的EDR杀手，且同一个EDR杀手可能随着时间使用不同的驱动。因此，仅凭驱动程序归因就容易出错。

一个明显的例子是百度杀毒驱动BdApiUtil.sys，它出现在多个独立项目中，包括：

• 死-AV，
• BdApiUtil-杀手，
• DLKiller，
• HexKiller，术士的EDR杀手之一，以及
• SevexKiller，一个在Akira部署期间发现的EDR杀手。

同样的模式也出现在TfSysMon.sys驱动（ThreatFire系统监控器）上。它被 TfSysMon-Killer、Susanoo 和 EDRKillShifter 滥用——这三个代码基有着不同的实现和开发历史。

驱动切换同样常见。例如，CardSpaceKiller 最初依赖于 HwRwDrv.sys，但后来的变体迁移到 ThrottleStop.sys，对剩余逻辑几乎没有改动。驱动器可互换;开发层基本保持不变。

这说明了一个更广泛的观点：驱动因素是一种商品资源，仅凭它们的存在几乎无法提供对威胁行为者复杂度或关系的洞察。

侦测规避

攻击者并没有花太多力气让他们的加密器不被发现。相反，所有复杂的防御规避技术都转移到了EDR杀手的用户模式组件中。这一趋势在商业EDR杀手中表现得尤为明显，这些杀手通常具备成熟的反分析和反检测能力。著名的反复出现技术包括：

• 驱动解耦。凶手和司机通常分开送达。联盟成员会先手动安装驱动，确认其加载成功后才执行实际的EDR终止组件。
• 使用商业包装器。像VX Crypt（与CardSpaceKiller使用的）和HeartCrypt（与AbyssKiller使用的）等打包器提供结构级混淆、反虚拟机行为和持续重打包，以规避静态签名。流行的代码虚拟化保护器如VMProtect和Themida也备受青睐。
• 加密嵌入式驱动。当驱动程序与EDR杀手捆绑时，通常以加密形式存储。
• 外部加密载荷。一些EDR杀手会将加密的壳码或辅助组件存储在独立文件中。这种方法有效地隐藏了杀手的关键部位，不被防守者轻易接触。
• 代码混淆。常见技术包括控制流平坦化（SmilingKiller）、哈希调用解析（CardSpaceKiller）和字符串混淆
• 密码保护。EDRKillShifter就是使用这种技术的完美例子。用密码保护EDR杀手的关键部分会带来检测挑战，但也提供了研究机会。

防御勒索软件和EDR杀手

防御勒索软件需要与防御自动化威胁的根本不同思维方式。钓鱼邮件、商品恶意软件和漏洞链一旦被安全解决方案检测并中和，便会停止;勒索软件入侵则不然。它们是互动式、人类驱动的操作，入侵者会不断适应检测、工具故障和环境障碍。因此，即使检测到单个步骤，也只有在防御方——无论是内部SOC团队、MSSP还是MDR提供商——能够正确、立即且果断地做出反应时，才具有防御价值。

大多数EDR杀手依赖于合法但脆弱的车手，这也是为什么防守者通常本能地专注于阻挡车手。阻止驾驶员装填是关键步骤，确实能中和EDR杀手，但只能在最后一刻。当联盟成员尝试安装驱动时，他们通常已经拥有高权限，几秒钟后就能启动加密器。如果EDR杀手失败了，他们就会尝试其他工具。

由于这些驱动因素是合法的，过于激进的屏蔽有可能干扰关键业务软件，使事件处理更加复杂。定向阻挡也面临挑战。2025年2月，Check Point显示威胁行为者能够创建超过2500个Truesight.sys样本，且由于签名有效性检查流程存在缺陷，所有样本均保持有效签名。Truesight.sys也是Microsoft司机签约政策存在的众多弱点之一。一年后，即2026年2月，Huntress分析了一起入侵事件，尽管EnPortv.sys证书已过期且明确被吊销，仍遭到滥用。

这就是为什么预防优先策略至关重要。阻止常用被滥用的驱动程序加载是有效且必要的防御机制，但不应是唯一的。研究EDR杀手使防御者能够制定多层次的策略，拓展视野;目标是在执行前阻止EDR杀手。毕竟，对于勒索软件来说，最有效的防御策略是在每一个可能的环节都具备检测、遏制和修复威胁的方法。

结论

EDR杀手之所以能存续，是因为它们廉价、稳定且与加密器解耦——这对加密器开发者来说非常合适，他们无需专注于让加密器无法被检测，也适合拥有易于使用且强大的工具，能在加密前干扰防御的关联公司。

我们的研究通过遥测数据提供了关于EDR杀手生态系统的洞见，超越了常见的以驾驶员为中心的方法。我们记录了关联公司（而非运营商）如何塑造工具多样性，以及代码库如何常规地重复使用和交换驱动程序。我们概述了过去一年EDR杀手产品日益商业化的过程，并展示了商业EDR杀手如何尤其能够提供加密器中常见缺失的防御规避技术。

我们强调，虽然防止易受影响的司机装载是防御线中的关键一步，但这也可能带来潜在的业务中断，因此不应仅仅依赖这一点，而是在EDR杀手还没来得及装载司机之前就要先行干扰。此外，我们证明了无人驾驶的方法，无论是基于脚本还是基于漏洞，都是任何勒索软件威胁者武器库中首选的补充。

如对我们在WeLiveSecurity上发布的研究有任何疑问，请通过 threatintel@eset.com 联系我们。

ESET研究提供私人APT情报报告和数据流。如对此服务有任何疑问，请访问ESET威胁情报页面。

国际象征委员会

全面的入侵指标（IoC）和示例可在我们的GitHub仓库中找到。

文件

SHA-1	文件名	检测	描述
54547180A99474B0DBA289D92C4A8F3EEA78B531	2Gk8.exe	Win32/Loader.Lycaon.Y.gen	深渊杀手EDR杀手。
75F85CAEA52FE5A124FA77E2934ABD3161690ADD	smuot.sys	Win64/Rootkit。特工.DX	ABYSSWORKER rootkit。
002573D80091F7F8167BCBDA3A402B85FA915F19	lasdjfioasdjfioer.exe	Win64/HackTool。EDRSilencer.C	EDRSilencer EDR杀手。
1E7567C0D525AD037FBBBAFB643BF40541994411	EDR-Freeze.exe	Win64/HackTool。EDRFreeze.A	EDR——冻结EDR杀手。
65C2388B0空军基地1D1F1860BB887456D8D6CD8B5645	Killer.exe	Win64/KillAV.DQ	EDRKillShifter，EDR杀手。
A9F37104D2D89051F34E 公元前1486年EBFF44D147E67	EDRGay.exe	Win32/KillAV.NVJ	DLKiller EDR 杀手。
083F604377D74C4377822EF35021E34AD7DACEEA	susanoo.exe	Win64/KillAV.CQ	须佐能之子EDR杀手。
570161A420992280A8ECED253EDC800296B72D1C	vmtools.exe	Win32/KillAV.NVL	HexKiller EDR 杀手。
BBE0E14BC7ECE8A7A1236D5A12E30476CFCEF110	Test.exe	WinGo/KillAV.M	SevexKiller EDR 杀手。
31CE76931CA09D3918B34E3187703BC72E6D647E	TfSysMon-Killer.exe	Win64/KillAV.DP	TfSysMon-杀手EDR杀手。
B9820BF443C375577CEEF44B9491E3A569A1B9E8	deadav.exe	WinGo/KillAV.L	死去的AVEDR杀手。
34270B07538B7357CF10D0D5BDA68F234B602F93	zcasdfhsdjfhoqewruoqwe.exe	Win64/KillAV.DP	GhostDriver的EDR杀手。
09735640D6634B0303755A9FD3B2BC80F932126C	pip.exe	Win32/KillAV.NVQ	微笑杀手EDR杀手。
公元前85年0A4F67522D6AC6BE64D763E65A2945EC5028	kill-floor.exe	Win64/KillAV.AV	杀戮楼层EDR杀手。
711C95FEAD2215E9AC59E32E6E3B0D71AD5C5AA5	demor.exe	Win64/agent.GAJ	DemoKiller EDR 杀手。
BC65ED919988C8E4B8F5A1CD371745456601700A	demo.exe	Win64/KillAV.DR	DemoKiller EDR 杀手。
148C0CDE4F2EF807AEA77D7368F00F4C519F47EF	BdApiUtil64.sys drivergay.sys Gosling.sys kihost.sys	Win64/VulnDriver。百度.D	百度杀毒软件 BdApi 漏洞驱动。
468121E7D6952799F92940677268937C4C5F92ED	K7RKScan.sys K7RKScan_1516.sys wamsdk.sys	Win64/VulnDriver。K7Computing.A	K7RKScan 内核模块易受攻击的驱动。
C881F43C7FE94A6F056A84DA8E9A32FE56D8DD9C	elliot.sys kill.sys TfSysMon.sys WatchMgrs.sys	Win64/Riskware.PCTools.A	ThreatFire系统监控漏洞驱动。
67D17CA90880B448D5C3B40F69CEC04D3649F170	1721894530.sys rentdrv2.sys	Win64/VulnDriver。租赁Drv.A	Rentdrv2 易受攻击的驱动程序。
F329AE0FDF1E198BEA6BA787E59CB73F90714002	data.sys	Win64/VulnDriver。AMD。E	USB-C 电源传输固件更新工具漏洞驱动。
82ED942A52CDCF120A8919730E00BA37619661A3	NitrogenK.sys rwdrv.sys ThrottleBlood.sys ThrottleStop.sys	Win64/VulnDriver。GPUZ。B	ThrottleStop，易受影响的驾驶员。
CE1B9909CEF820E5281618A7A0099A27A70643DC	hlpdrv.sys	Win64/Agent.GRL	CardSpaceKiller 使用的自定义根套件。
5D6B9E80E12BFC595D4D26F6AFB099B3CB471DD4	aswArPot.sys kallmekris.sys	Win64/VulnDriver。Avast.A	Avast 反 rootkit 漏洞驱动。
7310D6399683BA3EB2F695A2071E0E45891D743B	probmon.sys Sysprox.sys	Win64/VulnDriver。ITMSystem.A	ITM SYSTEM 文件过滤器有漏洞驱动。
C85C9A09CD1CB1691DA0D96772391BE6DDBA3555	kl.sys rspot.sys	Win64/VulnDriver。上升。A	北京崛起网络安全漏洞驱动。
6EE94F6BDC4C4ED0FFF621FEC36C70FF093659ED	msupdate.sys thelper.sys	Win32/IP-guard.E	OCular THelper，易受攻击的司机。
BA14C43031411240A0836BEDF8C8692B54698E05	praxisbackup.exe	Win64/Agent.ECW	MS4Killer EDR 杀手。
127B50C8185986A52AE66BF6E7E67A6FD787C4FC	version.dll	Win64/KillAV.CardSpaceKiller.C	CardSpaceKiller EDR 杀手。
A3BDB419703A70157F2B7BD1DC2E4C9227DD9FE8	0th3r_av5.exe	Win64/KillAV.CardSpaceKiller.A	CardSpaceKiller EDR 杀手。
4A57083122710D51F247367AFD813A740AC180A1	DrKiller_Cry_0x000E25C5DF65A3A.exe	Win64/Kryptik.FBC	CardSpaceKiller EDR 杀手。
DB8BCB8693DDF715552F85B8E2628F060070F920	HwRwDrv.sys MegaDrov.sys	Win64/VulnDriver。HwRwDrv.C	CardSpaceKiller EDR 杀手。

MITRE AT&CK 技术

本表使用了 MITRE ATT&CK 框架的第 18 版构建。

战术	身份证	名称	描述
处决	T1059.003	命令与脚本解释器：Windows 命令壳	基于脚本的EDR杀手会使用任务杀死、无关、网停止等命令来篡改保护。
	T1569.002	系统服务：服务执行	EDR杀手以服务形式执行易受攻击的驱动程序。
持久性	T1543.003	创建或修改系统进程：Windows 服务	一些EDR杀手可能会创建服务，在安全模式或下一次启动时运行。
	T1037.001	启动或登录初始化脚本：登录脚本（Windows）	EDR 杀手会在启动时注册脚本和服务，提前运行以干扰 EDR 加载。
特权升级	T1068	特权升级的利用	基于BYOVD的EDR杀手利用易受攻击的驱动程序来升级内核级权限。
防御规避	T1562.001	削弱防御：禁用或修改工具	EDR杀手会终止或暂停EDR/AV进程和服务以绕过检测。
	T1562.009	削弱防御：安全模式启动	基于脚本的EDR杀手会将系统重启为安全模式，以干扰安全组件。
	T1070.004	指示符移除：文件删除	EDR杀手可能会尝试删除EDR/AV文件以禁用保护。
	T1562.006	削弱防御：指示器阻挡	无人驾驶EDR杀手会阻断遥测和网络通信（例如EDRSilencer）。
	T1027	混淆文件或信息	商业EDR杀手尤其使用混淆和加密（例如CardSpaceKiller）。
	T1027.009	混淆文件或信息：嵌入式载荷	一些EDR杀手将驱动程序直接嵌入用户模式组件中，通常进行加密。
	T1027.002	混淆文件或信息：软件打包	商业EDR杀手依赖于像HeartCrypt或VX Crypt这样的封装器，以及像Themida和VMProtect这样的高级代码保护器。
	T1027.005	混淆文件或信息：从工具中移除指示器	EDR杀手如SmilingKiller使用控制流扁平化和代码混淆。
	T1140	解码/解码文件或信息	一些EDR杀手将加密的驱动程序和shellcode存储在磁盘上的专用文件中。
影响	T1490	抑制系统恢复	一些EDR杀手会删除或重命名安全相关文件，影响恢复。
	T1489	服务站	EDR杀手会阻止安全产品的受保护服务并篡改其功能。