NtKiller: тест на прочность защиты

Злоумышленник утверждает, что NtKiller способен закрепляться на самом раннем этапе загрузки системы, ещё до старта большинства защитных компонентов, чтобы вредоносный код оставался незамеченным как можно дольше, и при необходимости использовать собственный руткит. Также заявляется совместимость утилиты с широким спектром защитных решений, включая Microsoft Defender, ESET, Kaspersky, Bitdefender, Trend Micro и корпоративные EDR, что подразумевает попытку универсального обхода популярных продуктов.

Перечисленный функционал возможен, но тот же Bootkit (закрепление в системе через механизмы ранней загрузки) редко используется атакующими, в первую очередь из-за сложностей применения в реальных условиях. Техника основана на прописывании вредоносного кода в загрузочный сектор диска или прошивку, но для этого сначала требуется обойти различные механизмы защиты ОС. Обычно это выполняется с помощью незакрытых уязвимостей — как только уязвимости закрывают, усложняется процесс заражения. Поэтому как только авторы утилиты перестанут её поддерживать, появится приписка, что NtKiller работает только в определённых устаревших версиях Windows.

В прошлом для решения аналогичных задач злоумышленники нередко прибегали к подходу BYOVD (Bring Your Own Vulnerable Driver), который позволяет внедрять вредоносный код за счёт использования и подмены уязвимых легитимных драйверов в ядре операционной системы. Подобные техники упоминались, в частности, в контексте утилит Terminator и RealBlindingEDR. Однако без анализа конкретной реализации невозможно утверждать, используется ли аналогичный механизм в данном случае. В прайсе злоумышленников присутствует пункт NtKiller Rootkit, что в целом допускает получение доступов к режиму ядра с использованием подобных техник.

Также злоумышленники утверждают, что NtKiller выключает разные механизмы защиты Windows, в том числе HVCI (Hypervisor-Protected Code Integrity) и VBS (Virtualization-Based Security). Для их обхода уже есть различные решения: ZeroHVCI, Defender Remover и другие. Вполне возможно, что данный инструмент представляет собой компиляцию из уже известных методов обхода.

Подобные утилиты были раньше и будут появляться в будущем. В одном из расследований Solar 4RAYS в 2024 году был выявлен эпизод применения схожего ВПО. Тогда злоумышленники с помощью RCE‑уязвимости (удалённое выполнение кода) получили доступ к нескольким системам заказчика и установили бэкдор на одной из них. При этом антивирус не обнаружил файл, хотя используемое вредоносное ПО уже было известно вендору.

В той же системе удалось выявить вредоносный имплант, который хакеры спрятали среди легитимных файлов антивируса, замаскировав его под штатный компонент. При каждом старте операционной системы этот имплант автоматически запускался и отключал защиту. Результаты проведённого анализа были переданы разработчику антивируса, после чего уязвимость, позволявшая импланту работать, была устранена.

С подобными случаями мы сталкиваемся в инцидентах раз в несколько лет — утилиты основаны на определённых уязвимостях и, как только вендоры узнают о них, уязвимости оперативно устраняют.

Вероятно, что появление NtKiller в продаже (если он действительно работает) может говорить о том, что его изначальный владелец уже не заинтересован в нём. Такими инструментами пользуются преимущественно профессиональные APT‑группировки, которые, как правило, не распространяют свои собственные эксплойты и ПО. Если после применения эксплойта он был обнаружен, велика вероятность, что производитель ПО закроет уязвимость и такой инструмент быстро утратит эффективность. Поэтому появление NtKiller в продаже может быть попыткой заработать на уже отработанном инструменте.