【安全圈】黑客在暗網兜售NtKiller惡意軟件，宣稱可終止殺毒軟件并繞過EDR防護

關鍵詞

黑客

代號AlphaGhoul的惡意攻擊者正在推廣名為NtKiller的工具，該工具可靜默關閉殺毒軟件和終端檢測工具。該工具被發布在一個地下論壇上，犯罪分子常在此交易黑客服務。據廣告宣稱，NtKiller能幫助攻擊者在受感染計算機上運行惡意軟件時規避檢測。

傳統安全防護面臨嚴峻挑戰

NtKiller的出現對依賴傳統安全工具的企業構成重大威脅。攻擊者聲稱該工具可對抗包括Microsoft Defender、ESET、卡巴斯基、比特梵德和趨勢科技在內的多款主流安全產品。更令人擔憂的是，在激進模式下運行時，它還能繞過企業級EDR解決方案。KrakenLabs分析師指出，該惡意軟件通過早期啟動持久化機制保持隱蔽，一旦激活，安全團隊將極難檢測和清除。

模塊化定價的商業化趨勢

KrakenLabs研究人員發現NtKiller采用模塊化定價策略：基礎功能售價500美元，而rootkit功能和UAC繞過等附加功能每項需額外支付300美元。這種定價模式表明該工具已在網絡犯罪社區形成商業化銷售體系。其宣稱的功能不僅限于簡單的進程終止，還包括禁用HVCI（基于虛擬化的安全）、操縱VBS（虛擬化安全）以及規避內存完整性檢查等高級規避技術。

關鍵技術特性分析

該工具的早期啟動持久化機制通過在系統啟動階段（多數安全監控系統尚未完全激活時）建立立足點，使惡意載荷能在檢測最薄弱的環境中執行。其反調試和反分析保護措施阻礙研究人員和自動化工具分析惡意行為，導致實際能力與宣傳效果存在顯著認知差距。靜默UAC繞過功能使惡意軟件能獲取系統特權而不觸發Windows標準警示提示，結合rootkit功能可維持對已入侵系統的持久訪問而不被常規安全監控發現。

需特別說明的是，這些能力尚未經第三方研究人員獨立驗證，NtKiller的實際效果仍不明確。企業應保持警惕，確保安全工具具備超越特征識別的行為檢測能力，以應對此類新型威脅。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！