# FIN7 - AvNeutralizer EDR Killer Campaign (2024) > [!high] FIN7 Comercializa AvNeutralizer para Múltiplos Grupos Ransomware - 2024 > Em julho de 2024, a SentinelOne revelou que o [[g0046-fin7|FIN7]] desenvolveu e passou a comercializar o [[avneutralizer|AvNeutralizer (AuKill)]], ferramenta especializada para desabilitar soluções EDR/AV, sendo usado por grupos como Black Basta, AvosLocker, MedusaLocker, BlackCat e LockBit. ## Visão Geral A campanha AvNeutralizer de 2024 representa uma mudança estratégica fundamental do [[g0046-fin7|FIN7 (Carbon Spider/Sangria Tempest)]]: de operador de ataques diretos para fornecedor de infraestrutura e ferramentas para o ecossistema criminal. Iniciada em desenvolvimento em abril de 2022, a ferramenta AvNeutralizer foi exclusiva do [[black-basta|Black Basta]] por seis meses antes de ser oferecida para venda em fóruns underground russos (xss.is, exploit.in) sob aliases "goodsoft", "lefroggy", "killerAV" e "Stupor". O AvNeutralizer (também rastreado como **AuKill** pela Sophos) é uma ferramenta sofisticada projetada específicamente para desabilitar soluções EDR corporativas. A inovação da versão 2024 foi o uso do driver Windows built-in `ProcLaunchMon.sys` (TTD Monitor Driver) em conjunto com versões atualizadas do driver Process Explorer, criando uma condição de Denial of Service em implementações específicas de processos protegidos - uma técnica não vista anteriormente na natureza. A ferramenta foi vendida por preços entre $4.000 e $15.000, representando monetização de capacidade técnica exclusiva. A SentinelOne também identificou uma plataforma **Checkmarks** do FIN7, atualizada com módulo de SQL injection automatizado para exploração em escala de servidores com Exchange e outras aplicações públicas. ## Attack Flow - Modelo de Negócio ```mermaid graph TB A["FIN7 Core<br/>Desenvolve AvNeutralizer<br/>desde abril 2022"] --> B["Fase 1 - Exclusivo<br/>Black Basta usa AvNeutralizer<br/>em exclusividade 6 meses"] B --> C["Fase 2 - Venda<br/>Forums xss.is + exploit.in<br/>$4k-$15k por cópia"] C --> D["Compradores confirmados<br/>AvosLocker, MedusaLocker<br/>BlackCat, Trigona, LockBit"] A --> E["Checkmarks Platform<br/>SQL injection automatizado<br/>ProxyShell exploitation"] E --> F["Ataque direto FIN7<br/>Exfiltração + ransomware<br/>Black Basta / Clop"] ``` ## Análise Técnica - AvNeutralizer 2024 ```mermaid graph TB A["AvNeutralizer Loader<br/>PackXOR packer<br/>Anti-análise embutido"] --> B["Verificação anti-debug<br/>IsDebuggerPresent<br/>ExceptionFilter check"] B --> C["Modo 1 - RTCore64.sys<br/>Remove PPL protection<br/>via driver vulnerável BYOVD"] B --> D["Modo 2 - ProcLaunchMon.sys<br/>Driver Windows built-in<br/>TTD Monitor Driver - novo 2024"] C --> E["DoS em processo EDR<br/>EDR/AV termina<br/>sem alertas críticos"] D --> E ``` **Técnica nova (2024)**: Combinação de `ProcLaunchMon.sys` (presente por padrão em Windows) com driver Process Explorer versão 17.02 cria falha em implementações específicas de processos protegidos (PPL). Esta abordagem vai além do BYOVD tradicional por explorar driver legítimo já presente no sistema - evitando necessidade de carregar driver próprio. **PackXOR**: Packer customizado do AvNeutralizer com estrutura de 40 bytes de header + payload. Usa dois XOR + LZNT1 decompressão, com checagem do argumento "startkey" para anti-análise. ## Plataforma Checkmarks - SQL Injection Automatizado O FIN7 também opera a plataforma Checkmarks, originalmente para exploração do ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). A atualização de 2024 adicionou módulo Auto-SQLi: - Scanning automatizado por alvos com SQL injection vulneráveis - Se inicial falhar, SQLMap como fallback - Acesso remoto ao sistema via SQL server process (sqlservr.exe → cmd → PowerShell) - Entrega de [[powertrash|PowerTrash]] e [[diceloader|Diceloader]] como payloads pós-exploração ## TTPs Mapeados | Técnica | ID | Descrição | |---------|----|-----------| | Impair Defenses | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | AvNeutralizer desabilitando processos EDR/AV | | Exploit Public-Facing | [[t1190-exploit-public-facing-application\|T1190]] | Checkmarks - ProxyShell + SQL injection | | PowerShell | [[t1059-001-powershell\|T1059.001]] | PowerTrash - shellcode invoker obfuscado | | Válid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais obtidas para acesso persistente | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Deploy de webshells pós ProxyShell | ## IOCs Públicos ``` IPs C2: 45.87.154.208 213.109.192.198 194.180.174.86 91.199.147.152 194.180.191.85 Scripts: http://45.87.154.208/work_53m8.ps1 http://45.87.154.208/icsnd3b_64refl.ps1 SHA256 AvNeutralizer: 8a03580d29fe1dcc3de9fffaf8960bc339ecd994 (versão 2024 com ProcLaunchMon) ``` ## Detecção e Defesa **Indicadores comportamentais:** - Driver `RTCore64.sys` carregado sem justificativa legítima - Interação suspeita com `ProcLaunchMon.sys` + `procexp` versão 17.02 - Processos EDR/AV terminando inesperadamente sem alerta de desinstalação - Scripts PowerShell com obfuscação FUCKAV ou string numéricas características do FIN7 **Mitigações:** - [[m1049-antivirus\|M1049]] - Allowlisting de drivers conhecidos via WDAC/HVCI - [[m1019-threat-intelligence-program\|M1019]] - Monitorar fóruns underground para novos lotes de AvNeutralizer - Bloquear CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (ProxyShell) em Exchange ## Referências - [1](https://www.sentinelone.com/labs/fin7-reboot-cybercrime-gang-enhances-ops-with-new-edr-bypasses-and-automated-attacks/) SentinelOne - FIN7 Reboot: New EDR Bypasses and Automated Attacks (2024) - [2](https://thehackernews.com/2024/07/fin7-group-advertises-security.html) The Hacker News - FIN7 Group Advertises AvNeutralizer on Dark Web (2024) - [3](https://www.bleepingcomputer.com/news/security/notorious-fin7-hackers-sell-edr-killer-to-other-threat-actors/) BleepingComputer - FIN7 Hackers Sell EDR Killer to Other Threat Actors (2024) - [4](https://gbhackers.com/avneutralizer-edr-killer-unpacked/) GBHackers - Researchers Unpacked AvNeutralizer EDR Killer (2024)