$500 – антивирусы и EDR больше не помогут. Хакеры начали торговлю инструментом для обхода защиты Windows

На подпольных форумах появился новый товар для тех, кто хочет работать тише и дольше. Злоумышленник под ником AlphaGhoul начал продвигать утилиту NtKiller, которая, по заявлению автора, умеет незаметно отключать антивирусы и средства обнаружения на конечных устройствах, помогая запускать вредоносную нагрузку на зараженных компьютерах и уходить от детекта.

В рекламе утверждается, что NtKiller способен работать против популярных решений, включая Microsoft Defender, ESET, Kaspersky, Bitdefender и Trend Micro. Отдельно подчеркивается, что в агрессивных режимах инструмент якобы умеет обходить и корпоративные EDR, что делает историю особенно неприятной для компаний, рассчитывающих на традиционный набор защитных средств.

Специалисты KrakenLabs обратили внимание на заявленную способность NtKiller сохраняться в системе через механизмы ранней загрузки. Суть в том, что инструмент закрепляется на этапе старта Windows, до того, как многие компоненты мониторинга окончательно поднимаются и начинают полноценно отслеживать происходящее. Такой временной зазор дает атакующему более чистую среду для запуска полезной нагрузки, когда вероятность обнаружения минимальна, а последующее удаление становится заметно сложнее.

По данным исследователей, инструмент продается по модульной схеме. Базовая функциональность оценена в $500, а дополнительные опции вроде руткита и обхода UAC предлагаются еще по $300 каждая. Такой прайс и структура пакетов выглядят как попытка превратить разработку в коммерческий продукт, заточенный под стабильные продажи внутри криминального рынка.

В описании NtKiller заявлены возможности, выходящие за рамки простого завершения процессов защитных программ. Среди них упоминаются техники уклонения, связанные с отключением HVCI, манипуляциями VBS и обходом механизма целостности памяти. Дополнительно говорится о защите от отладки и анализа, которая мешает исследователям и автоматическим системам разбирать поведение инструмента и оставляет зазор между маркетинговыми обещаниями и тем, что он реально умеет.

Еще одной критически опасной функцией в рекламе называется «тихий» обход UAC, позволяющий получать повышенные привилегии без стандартных окон Windows, которые могли бы насторожить пользователя. В сочетании с руткит-возможностями это потенциально дает атакующим долговременное присутствие на машине при низкой заметности для стандартного мониторинга.

При этом подчеркивается, что заявленные характеристики пока не подтверждены независимыми сторонними исследователями, а реальная эффективность NtKiller остается неясной. На фоне подобных предложений организациям рекомендуют сохранять бдительность и опираться не только на сигнатуры, но и на поведенческие механизмы обнаружения, способные реагировать на попытки подавления защитных компонентов и скрытного закрепления в системе.