新型 “自带安装程序” EDR 旁路技术被用于勒索软件攻击

一种新的“自带安装程序”EDR 旁路技术在攻击中被利用，以绕过 SentinelOne 的防篡改保护功能，使恶意分子能够禁用端点检测和响应（EDR）代理，从而安装 Babuk 勒索软件。

这种技术利用了代理升级过程中的一个漏洞，使威胁者能够终止正在运行的 EDR 代理，从而使设备失去保护。

此次攻击是由 Stroz Friedberg事件响应团队的人员在与今年早些时候遭受勒索软件攻击的一位客户合作期间发现的。

该技术并非像我们通常看到的 EDR 旁路那样依赖第三方工具或驱动程序，而是滥用 SentinelOne 安装程序本身。

SentinelOne 建议客户启用默认关闭的“在线授权”设置，以防范此类攻击。

在勒索软件攻击中被积极利用

Stroz Friedberg的研究人员解释说，SentinelOne 通过一项防篡改保护功能来保护其 EDR 代理，该功能要求在 SentinelOne 管理控制台中进行手动操作或输入唯一代码才能移除代理。

然而，与许多其他软件安装程序一样，在安装不同版本的代理程序时，SentinelOne 安装程序会在现有文件被新版本覆盖之前终止任何相关的 Windows 进程。

威胁者发现他们可以利用这一短暂的机会窗口，运行一个合法的 SentinelOne 安装程序，然后在安装程序关闭正在运行的代理服务后强行终止安装过程，从而使设备处于未受保护的状态。

自带安装器EDR绕过攻击链

今年早些时候，Stroz Friedberg被委托调查对客户网络的攻击，日志显示攻击者通过漏洞获得了对客户网络的管理访问权限。

然后，攻击者通过在SentinelOne Windows Installer（“msiexec.exe”）进程安装和启动新版本的代理程序之前终止该进程，使用了这种新的绕过。由于设备上的保护被禁用，威胁者随后能够部署勒索软件。

威胁者可以利用新版本或旧版本的代理来进行这种攻击，所以即使最新版本在设备上运行，他们仍然容易受到攻击。

Stroz Friedberg在报告中说：“Stroz Friedberg还观察到，在安装程序终止后不久，SentinelOne管理控制台的主机就离线了。进一步的测试表明，攻击成功地跨越了多个版本的SentinelOne代理，并且不依赖于本次事件中观察到的特定版本。”

SentinelOne已于2025年1月私下与客户分享了缓解措施。缓解措施是在哨兵策略设置中启用“在线授权”功能，启用该功能时，需要在发生代理的本地升级、降级或卸载之前获得SentinelOne管理控制台的批准。

SentinelOne还与所有其他主要的EDR供应商分享了Stroz Friedberg关于这项新技术的建议，以防他们也受到影响。经证实，这次攻击并未影响其EDR软件。