勒索軟體攻擊者通常會在啟動加密程式之前部署一些工具，這些工具旨在停用端點偵測與回應 (EDR) 軟體。這些被稱為 EDR 殺手的工具已成為勒索軟體入侵的標準組成部分， ESET 研究追蹤到近 90 種在實際攻擊中被積極使用的 EDR 殺手工具。

EDR殺手勒索軟體

各攻擊團伙的工作流程基本一致：攻擊者取得高權限，部署EDR破壞工具干擾安全軟體，然後執行加密程式。關聯方之所以青睞這種方法，是因為它能提供一個短暫而可靠的視窗期來完成加密，而無需不斷修改有效載荷來逃避偵測。

聯盟成員選擇工具，業者提供加密器

在勒索軟體即服務 (RaaS) 營運中，營運商通常提供加密器和支援基礎設施。 EDR 攔截工具的選擇則由其合作夥伴負責。 ESET 研究員Jakub Souček指出，合作夥伴數量越多，EDR 攔截工具的種類就越多。

這種分工也意味著，防禦者會面臨來自同一勒索軟體品牌的更廣泛的工具，這取決於哪個關聯公司執行了特定的攻擊。

自帶易受傷害駕駛員方案佔據主導地位，其他方案也正在崛起

自帶漏洞驅動程式（BYOD）技術仍然是最常用的方法。攻擊者將一個合法但存在漏洞的驅動程式部署到受害者的電腦上，安裝該驅動程序，然後運行惡意軟體利用該驅動程式的漏洞來獲取核心級存取權限。此技術可靠、文件齊全，且開發工作量相對較小。

有一類規模較小但發展迅速的EDR殺手工具，它們無需觸及內核即可達到類似的效果。這些工具會幹擾EDR通訊或直接暫停進程，完全繞過了利用驅動程式漏洞的必要性。最簡單的 EDR 殺手依賴內建的管理工具和命令，完全不需要任何專門的驅動程式或核心存取權限。

阻止易受攻擊的驅動程式是必要的，但這還不夠。阻止易受攻擊的驅動程式載入是一項重要的防禦措施，儘管有多種繞過技術。實際意義在於，組織需要採取控制措施，在EDR攻擊程式有機會載入驅動程式之前就將其攔截。

人工智慧輔助開發正在進入人們的視野

根據 ESET 的評估，至少有一些近期發現的 EDR 攻擊程式顯示出人工智慧輔助程式碼產生的跡象。目前尚無明確的取證標記能夠可靠地區分人工智慧產生的程式碼和人類編寫的程式碼，尤其是在攻擊者對輸出進行混淆或後處理的情況下。

一個具體的例子來自 Warlock 勒索軟體團夥部署的工具。該工具包含一段程式碼，用於列印可能的修復方案列表，這種模式通常由人工智慧產生。它也實現了一種試誤機制，會循環嘗試幾個不相關的、常用的裝置名稱，直到找到一個適用於目標系統的裝置名稱，而不是攻擊某個特定的驅動程式。Souček 指出，氛圍編碼使得威脅情勢的追蹤和歸因變得更加複雜。

勒索軟體入侵需要不同的防禦策略

網路釣魚攻擊和常見惡意軟體會在安全解決方案將其清除後停止，但勒索軟體入侵並非如此。它們是互動的、人為驅動的行動，攻擊者會不斷調整策略以應對偵測、工具故障和環境變化。

這種區別對於防禦者如何分配資源和設計檢測策略至關重要，特別是針對EDR殺手級攻擊，需要在權限提升和驅動程式安裝階段進行主動監控，遠在加密器部署之前。

資料來源：https://www.helpnetsecurity.com/2026/03/19/edr-killer-ransomware-attacks/