EDR BypassDefense Evasion

'The Gentlemen' RaaS: GentleKiller Çerçevesiyle EDR Bypass Aracı Setini Standartlaştırdı

📅 18 Haz 2026  ·  📰 The Hacker News / ESET  ·  🎯 EDR-bağımlı tüm savunma stratejileri (geniş)  ·  TLP:WHITE

MaaS
Kit
ESET, The Gentlemen RaaS operasyonunun GentleKiller adlı bir defense-evasion çerçevesi etrafında EDR sonlandırıcı araç paketini affilate'lere dağıttığını raporladı. HexKiller, ThrottleBlood, HavocKiller gibi üçüncü taraf araçları da standartlaştırılmış — sahte sürüm bilgileri ile güvenlik satıcılarını taklit ediyor, kopyalanmış sertifika ve ikonlar kullanıyor. SOC/EDR ekipleri için imza-temelli tespitin yetersizliği kanıtı.

ESET Researcher Jakub Souček, The Gentlemen RaaS operasyonunun GentleKiller adlı bir savunma-evasion çerçevesi etrafında olgun bir EDR sonlandırıcı araç paketini affiliate'lere dağıttığını raporladı.

Pakette HexKiller, ThrottleBlood ve HavocKiller gibi üçüncü taraf veya sızdırılmış araçlar da standartlaştırılmış paylaşılan bir defense-evasion katmanı altında birleştirilmiş. Araçlar sahte sürüm bilgileri, kopyalanmış sertifika ve ikonlar ile güvenlik satıcılarını taklit ediyor.

Bu, ransomware ekonomisinde 'managed defense evasion' kategorisinin olgunlaşmasına işaret. Affiliate'ler artık kendi EDR-kill ihtiyaçlarını çözmek zorunda değil; merkezi olarak yönetilen, sürekli güncellenen bir araç deposundan çekiyor.

Etkilenebilecek savunma kategorileri: SentinelOne, Microsoft Defender for Endpoint, CrowdStrike Falcon, Sophos Intercept X, Trend Micro Apex One. Tool'lar BYOVD (Bring Your Own Vulnerable Driver) tekniklerini sıkça kullanıyor — yasal imzalı ama bilinen güvenlik açıklı driver'ları yükleyerek EDR servisini sonlandırıyor.

▸ ÖNERİLEN AKSİYONLAR
BYOVD kontrolü: Windows'ta yalnızca beyaz listede olan driver'ların yüklenmesine izin veren WDAC (Windows Defender Application Control) politikası uygulayın
EDR sonlandırma tespiti: EDR servisinin yetkisiz biçimde durdurulması/silinmesini SIEM'de alarm olarak işaretleyin (Event ID 4671, 7036)
Defender Application Guard + Tamper Protection açık olduğundan emin olun (önce GPO + sonra Intune politika)
Etkilenen EDR vendor'larından beyaz liste (allowlist) bypass tekniklerine karşı son güncel imza paketini sürdürün
Kırmızı takım: GentleKiller dahili olarak simüle edip kendi EDR'inizin direnç seviyesini ölçün
▸ KAYNAK
Birincil: The Hacker News / ESET ↗
Ek: ESET Research ↗
Ek: The Hacker News ↗