网络安全领域又迎来一则重磅发现。ESET研究团队在2026年6月中旬披露的技术报告显示一个名为Gentlemen的勒索软件即服务RaaS组织正在使用其内部研发的EDR清除框架GentleKiller在投放勒索载荷前系统性地关闭端点安全工具。这种由运营方直接维护并分发给下游成员的集中式攻击模式即便在顶级勒索生态中也相当少见。从内核层面瓦解安全防线GentleKiller的核心运作逻辑建立在BYOVDBring Your Own Vulnerable Driver自带易受攻击驱动技术之上。攻击者会加载一个拥有合法数字签名但存在漏洞的内核级驱动程序借此获得内核权限并终止安全进程从而绕过用户态防护机制。这种攻击路径的隐蔽性在于被加载的驱动本身并非恶意软件而是真实存在的合法软件组件只是其内部缺陷被 weaponized武器化利用。该框架目前至少存在八个不同变体每个变体都精心伪装成不同的合法安全产品并滥用各自独立的易受攻击或恶意内核驱动。GentleKiller会以循环模式持续运行每两秒扫描一次目标进程并执行终止操作这种高频轮询机制确保了安全软件几乎没有重新启动的窗口期。被滥用的驱动程序与覆盖范围ESET的分析指出GentleKiller的八个变体分别滥用了以下驱动卡巴斯基的eb.sys、FACEIT反作弊系统的nseckrnl.sys、Valorant游戏的GameDriverX64.sys、Javelin与Safetica的stpm_old.sys和stpm_new.sys、Zemana WatchDog的dmx.sys、奇虎360的360netmon_wfp.sys、IObit的IMFForceDelete以及PoisonX rootkit的驱动程序。这套框架的杀伤范围相当惊人。据统计GentleKiller针对的进程总数超过400个对应映射到48款不同的安全产品。微软Defender、CrowdStrike、SentinelOne、Sophos、Palo Alto Networks、ESET自家产品、Bitdefender、卡巴斯基以及McAfee/Trellix等业界头部厂商的解决方案均在其打击清单之上。这意味着一旦GentleKiller成功部署绝大多数主流端点检测与响应EDR工具都会瞬间失效。极快的漏洞利用转化速度Gentlemen团伙最令人侧目的特点在于其将新公开的BYOVD概念验证PoC代码快速转化为实战武器的能力。ESET的研究人员注意到UnknownKiller和PoisonKiller等工具在GitHub上被公开披露后仅仅数天内就出现在GentleKiller的武器库中。这种响应速度反映出该团伙背后拥有资源充足且高度敏捷的开发流程与那些需要数周甚至数月才能将公开漏洞整合进工具链的普通RaaS运营商形成了鲜明对比。这种快速武器化能力让Gentlemen在勒索生态中占据了显著的技术优势。当其他团伙还在评估新漏洞的可用性时Gentlemen的成员已经能够使用经过标准化处理的EDR杀手进入目标网络。外部工具的整合与伪装除了自研的GentleKiller之外Gentlemen还将三款来自外部来源的EDR清除工具纳入了其会员套件。HexKiller此前被认为是Warlock团伙的专属工具它滥用了百度杀毒软件的BdApi驱动googleApiUtil64.sys。ThrottleBlood则曾在MedusaLocker和DragonForce的入侵事件中出现其利用的是TechPowerUp LLC的驱动程序。HavocKiller由Huntress在2026年3月首次公开披露但早在同年1月就已经在真实攻击中被发现该工具利用华为音频驱动havoc.sys完成权限提升和进程终止。这三款工具在纳入Gentlemen生态后被统一施加了一层防御规避处理。Gentlemen在编译后的二进制层面应用Enigma或Themida保护壳伪造版本信息、复制数字签名并匹配图标使这些工具看起来像是正规安全厂商发布的软件。这种标准化处理带来的副作用是即使安全研究人员能够识别出原始工具的来源经过Gentlemen加工后的样本在外观上几乎完全一致给攻击溯源制造了巨大障碍。配套工具与运营架构在凭证窃取环节Gentlemen为其成员提供了OxideHarvest。这款由团伙关联人员维护的Rust语言编写的工具能够从受感染主机上的Chromium内核和Gecko内核浏览器中批量提取保存的密码和凭证信息。这种从浏览器入手的信息收集策略为后续横向移动和权限提升提供了关键跳板。Gentlemen于2025年末以RaaS模式正式登场其创始团队据称与前Qilin麒麟勒索组织有关联。凭借高达90%的收入分成比例该团伙迅速吸引了大量附属成员加入并在2026年第一季度跻身最活跃的五大勒索组织之列。值得注意的是Gentlemen并没有像大多数主要勒索团伙那样将火力集中在美国目标上而是刻意将攻击重心放在东南亚、南美和西欧地区。其目标筛选逻辑主要围绕FortiGate防火墙的配置错误展开地理因素反而被放在次要位置。内部泄露与运营透明度2026年5月发生的一起内部数据泄露事件让外界得以一窥Gentlemen的运营模式。泄露资料证实该团伙的核心运营者确实在积极开发、维护并向经过审核的附属机构分发GentleKiller及更广泛的EDR清除套件。这种由上游统一提供高质量攻击工具、下游负责实际入侵和勒索的垂直整合模式在一定程度上解释了Gentlemen为何能在短时间内迅速扩张。高分成比例降低了准入门槛统一的技术支持则提升了攻击成功率。对于附属成员而言加入Gentlemen意味着无需自行解决EDR绕过这一最棘手的环节只需专注于初始入侵和勒索谈判即可。防御层面的应对思路面对GentleKiller这类基于BYOVD技术的EDR清除框架企业安全团队需要在内核驱动管控层面建立更严格的防线。驱动程序白名单机制是首要建议通过只允许经过明确审批的驱动加载可以从源头阻断绝大多数BYOVD攻击路径。同时微软维护的易受攻击驱动黑名单Vulnerable Driver Blocklist应当被强制启用确保已知存在漏洞的驱动程序无法被轻易利用。在行为检测层面安全运营人员应当重点关注两类异常信号的关联一是针对安全软件的进程终止模式二是异常的内核驱动加载事件。将这两类事件进行时间关联分析是目前识别GentleKiller及其变种最可靠的行为指标。此外对GentlemenCollection临时目录的监控也能提供早期的入侵线索因为该团伙在攻击初期常利用特定路径存放中间载荷。