漏洞概述 The Gentlemen 是一个以勒索软件即服务(RaaS)模式运作的组织,自2026年初开始活跃。该组织利用多种漏洞和技巧进行攻击,包括初始感染向量、侦察、横向移动、禁用安全产品、后门部署、勒索软件执行等。 影响范围 目标:大型企业和关键基础设施。 活动:自2026年2月以来,The Gentlemen 的活动显著增加,成为2026年上半年数据泄露事件(DL5)中排名前十的勒索软件行为者之一。 技术:使用自定义后门、Go语言编写的勒索软件、PowerShell脚本、PsExec等工具进行攻击。 修复方案 1. 初始感染向量: - 避免使用易受攻击的在线服务和弱登录凭证。 - 使用硬件VPN和防火墙保护暴露在互联网的设备。 2. 侦察: - 使用SharpADWS、NetScan、Advanced IP Scanner等工具进行内部侦察。 - 使用Microsoft的netsh工具捕获网络数据包。 3. 横向移动: - 使用NETLOGON共享分发勒索软件可执行文件。 - 使用PowerShell脚本 和PsExec进行横向移动。 4. 禁用安全产品: - 使用BYOVD技术安装易受攻击的驱动程序。 - 使用Windows Kernel Explorer和OpenArk64禁用安全软件。 - 修改Windows注册表设置以禁用Windows Defender的实时监控。 5. 后门部署: - 使用Go语言编写的后门进行远程命令执行。 - 使用Yamux库建立持久双向TCP连接。 6. 勒索软件执行: - 使用Go语言编写的勒索软件进行文件加密。 - 使用 参数防止在沙箱或自动化环境中运行。 7. 系统执行预防: - 使用PowerShell脚本 进行横向移动。 - 使用PsExec进行横向移动。 8. 预加密活动: - 停止Hyper-V虚拟机。 - 终止特定进程和服务。 - 创建计划任务 以在启动时运行勒索软件。 9. 加密过程: - 使用混合加密算法(Curve25519和XChaCha20)进行文件加密。 - 更改文件访问权限为“Everyone”。 POC代码 ```powershell Go-based ransomware execution schtasks.exe /Delete /TN "UpdateUser" /F schtasks.exe /Create /SC ONSTART /