【安全资讯】黑客滥用合法取证软件内核驱动，新型EDR杀手工具可检测并终止59种安全工具

概要：

在网络安全攻防对抗日益激烈的背景下，端点检测与响应（EDR）系统已成为企业防御体系的核心。然而，黑客正不断寻找新的方法来绕过这些关键防护。近期，安全研究人员发现一种新型的EDR杀手工具，其通过滥用一款已过期的合法取证软件内核驱动，成功实现了对多达59种安全工具的检测与终止，凸显了利用合法签名驱动进行攻击的持续威胁。

主要内容：

此次事件中，攻击者首先通过窃取的SonicWall SSL VPN凭证入侵网络，并利用了该VPN账户未启用多因素认证（MFA）的弱点。进入内网后，攻击者进行了包括ICMP ping扫描、NetBIOS名称探测和SYN洪水攻击在内的激进内部侦察活动。

攻击的核心在于部署了一个伪装成合法固件更新程序的定制化EDR杀手工具。该工具滥用了一个名为“EnPortv.sys”的旧版EnCase内核驱动程序。EnCase是一款常用于执法部门取证的数字调查工具。该驱动程序的证书虽已于2010年过期并被吊销，但由于Windows的驱动程序签名强制（DSE）机制仅验证加密签名和时间戳，而不检查证书吊销列表（CRL），因此系统仍会接受此旧证书。

该恶意软件将驱动安装并注册为伪造的OEM硬件服务，以此建立重启后仍可持续的驻留。随后，它通过驱动的内核模式IOCTL接口终止安全软件的服务进程，绕过了包括受保护进程轻量级（PPL）在内的现有Windows防护机制。其目标进程列表涵盖了59种不同的EDR和防病毒工具，并以每秒一次的频率执行“终止循环”，确保任何被重启的进程能被立即再次关闭。

尽管此次攻击在最终的有效载荷（疑似勒索软件）部署前被阻止，但事件暴露了关键防御缺口。安全专家建议在所有远程访问服务上启用MFA，监控VPN日志中的可疑活动，并启用HVCI/内存完整性以强制执行微软的易受攻击驱动程序阻止列表，同时监控伪装成OEM或硬件组件的内核服务。