ARC Labs 发现并分析了一种用于Qilin勒索软件攻击的新工具。

这种恶意软件被称为“Killer Ultra”，旨在禁用流行的威胁检测和响应（EDR）以及防病毒软件。

ARC Labs 专家进行了深入分析，以了解 Killer Ultra 的全部功能，并为组织提供战术威胁情报。

分析发现Killer Ultra获取内核级权限，针对知名品牌安全工具。

该程序会删除所有 Windows 事件日志，并使用存在漏洞的Zemana AntiLogger安全程序版本任意终止进程。

CVE -2024-1853 是Zemana AntiLogger中的一个漏洞，允许攻击者终止安全软件进程。 

2023 年 5 月，一位化名“ SpyBoy ”的黑客将该漏洞包含在网络犯罪论坛上出售的名为“Terminator”的工具中。

启动时，Killer Ultra 使用系统进程“notepad.exe”来隐藏其活动。

该恶意软件将NTDLL系统组件替换为“notepad.exe”版本。

这有助于向可能监视系统的安全程序隐藏其操作。

NTDLL（NT Layer DLL）是一个Windows系统库，提供应用程序和操作系统内核之间的接口。

它包含执行各种操作系统级任务所需的许多功能，例如管理进程、内存和 I/O。

初始化后，Killer Ultra 会加载未受影响的NTDLL副本，并将Zemana 驱动程序提取到本地磁盘。

然后启动“ StopGuard ”服务并禁用程序中列出的安全进程。 

Killer Ultra 针对Symantec Antivirus、Microsoft Windows Defender 和 SentinelOne等产品。

为了防止安全工具在系统重新启动后再次运行，Killer Ultra 创建了两个计划任务：“Microsoft Security”和“Microsoft Maintenance”。

它们在系统启动时启动该程序。

Killer Ultra 还使用“wevtutil.exe”实用程序清除 Windows 事件日志，从而难以检测恶意软件活动的痕迹。

对 Killer Ultra 代码的分析揭示了可用于后期利用目的的非活动函数的存在。

该程序可以从远程源加载工具，使用CreateProcessW函数运行进程，还可以使用虚拟化和沙箱功能。

这些功能尚未上线，但可能会在 Killer Ultra 的未来版本中使用。

Killer Ultra 恶意软件代表了严重的安全问题。

鼓励组织更新其检测和响应策略以应对此类威胁和类似威胁。