两年前，勒索软件攻击团体Black Basta曾使用来自另一个骇客组织FIN7的恶意程序AuKill（或称AvNeutralizer），以此迴避端点防护机制，当时资安业者SentinelOne认为，这两组人马很可能有紧密的合作关係，研究人员最近公布新的调查结果。

从去年1月开始，SentinelOne发现AvosLocker、MedusaLocker、BlackCat、Trigona、LockBit等多个勒索软件骇客组织，也加入使用AuKill的行列，反倒是Black Basta在调查结果发表后，不再使用这款工具，并调整部分的策略、技术、流程（TTP）。这样的现象，代表AuKill并非FIN7专为Black Basta打造的工具。

对此，研究人员推测FIN7很有可能在地下论坛兜售AuKill，他们调查骇客约自2022年5月开始，分别使用goodsoft、lefroggy、killerAV等多个ID，在骇客论坛exploit[.]in、xss[.]is、RAMP张贴广告，并开出4千至1万5千美元的价码，号称他们的工具能够应付各种端点防护系统。研究人员指出，这些ID在多个网路犯罪论坛进行活动，而且，他们张贴的内容皆与FIN7的利益、动机、TTP符合。

研究人员也提到骇客在2022年8月第二波的宣传，对方声称提供后利用框架PentestSoftware，并具备多个模组可供搭配，其功能是用来渗透企业网路环境，并能迴避防毒软件侦测，他们耗费3年多、斥资100万美元打造这套框架。

但特别的是，这次骇客还提供使用手册的PDF文件，并在文件以IceBot及Remote System Client称呼这套工具。

到了去年3月，这些骇客使用新的ID「Stupor」兜售防毒软件杀手，开价1万美元，后续SentinelOne研究人员也设法取得对方提供的工具进行分析，并确认是新版AuKill。

持续演化至今，研究人员发现AuKill增加新的手段，那就是滥用Windows作业系统内建的ProcLaunchMon.sys，这是用来监督「时间历程除错（Time Travel Debugging，TTD）」的驱动程序，对方结合这种驱动程序与特定的作业流程，导致某些受保护处理程序的实作无法与子程序沟通而发生故障，最终造成阻断服务（DoS）。他们滥用ProcLaunchMon.sys及特定版本的Process Explorer驱动程序，来达到上述目的。

具体来说，骇客做了那些事情？研究人员表示，首先，对方在受害电脑的System32资料夹投放了Process Explorer、TTD监视器的驱动程序，载入并连结特定的驱动程序装置。然后他们设定新的TTD监控连线阶段（Session），与监视器的驱动程序进行互动。

接着，骇客在TTD监控连线阶段里，加入被锁定的受保护处理程序PID，从而导致新产生的子处理程序被停止，再利用Process Explorer的驱动程序移除未受到保护的子处理程序。

在骇客这么做之后，受到保护的处理程序将会试图重新启动子处理程序，但这次就会被系统核心暂停，使得子处理程序无法进行通讯。