一种可绕过EDR和AV安全软件的Baldwin Killer复杂恶意工具正在暗网推销

据报道，一种被称为“Baldwin Killer”的复杂恶意软件工具正在地下论坛上推销，作为绕过防病毒 (AV) 和端点检测和响应 (EDR)安全产品的强大解决方案。

安全研究人员发现一个论坛列表提供此工具，价格从 300 美元到 580 美元不等，交易通过托管服务进行，以保护买家和卖家。

根据 2025 年 4 月发现的列表，Baldwin Killer 被宣传为适用于采用多种规避技术的 Windows 系统的“[廉价/Deshevo] AV/EDR 杀手”。

卖家声称该工具于 2024 年开始开发，在最近发布之前已经经过“大量测试和改进”。

Baldwin Killer的逃避策略

据暗网帖子称，鲍德温杀手利用多种先进技术来逃避主要安全解决方案的检测。

分析该产品的安全研究人员指出，它利用类似于“Chaos-Rootkit”的内核模式rootkit（Ring 0）方法，通过直接内核对象操作（DKOM）来隐藏恶意进程。此方法允许恶意软件以与操作系统本身相同的权限级别运行。

该恶意软件还采用了 DLL 侧加载技术，该技术利用 Windows 动态链接库搜索顺序在合法应用程序的上下文中执行恶意代码。

该方法已被证明对安全产品有效，因为它使用签名的合法可执行文件来加载未经授权的代码。

数字防御研究所网络安全分析师 Marcus Wei 博士解释说： “ DLL 侧载越来越受欢迎，因为其行为很难被检测到。”

“当恶意代码在合法应用程序的上下文中执行时，它通常会逃避寻找可疑活动的安全机制的检测。”

另一个关键特性是利用用户帐户控制 (UAC) 绕过漏洞，据称该漏洞可操纵 Windows 注册表项。这使得恶意软件能够在不触发用户权限对话框的情况下提升权限，从而避免用户权限对话框触发可疑活动警报。

新兴威胁形势

安全专家特别担心 Baldwin Killer 能够通过利用 Zemana AntiLogger 驱动程序中的漏洞 CVE-2024-1853 来终止 EDR 进程。

在另一个名为“Killer Ultra”的工具中也观察到了类似的功能，该工具是在今年早些时候从麒麟勒索软件攻击中恢复的。

论坛列表表明该恶意软件使用所谓的“反射 DLL 注入”直接从内存而不是磁盘加载恶意代码，这进一步增加了检测工作的复杂性。

据称，Baldwin Killer 还采用了早期启动反恶意软件 (ELAM) 规避技术来规避微软旨在启动过程中验证驱动程序的保护措施。

建议组织实施不仅仅依赖 EDR/AV 解决方案的纵深防御策略，包括网络分段、最小特权原则和基于行为的异常检测系统。

安全团队还应确保其系统更新了最新补丁，以解决此类工具可能利用的已知漏洞。

新闻链接：

https://cybersecuritynews.com/baldwin-killer-bypasses-av-edr/