一種新的“自帶安裝程序”EDR 旁路技術在攻擊中被利用，以繞過 SentinelOne 的防篡改保護功能，使惡意分子能夠禁用端點檢測和響應（EDR）代理，從而安裝 Babuk 勒索軟件。

這種技術利用了代理升級過程中的一個漏洞，使威脅者能夠終止正在運行的 EDR 代理，從而使設備失去保護。

此次攻擊是由 Stroz Friedberg事件響應團隊的人員在與今年早些時候遭受勒索軟件攻擊的一位客戶合作期間發現的。

該技術并非像我們通常看到的 EDR 旁路那樣依賴第三方工具或驅動程序，而是濫用 SentinelOne 安裝程序本身。

SentinelOne 建議客戶啟用默認關閉的“在線授權”設置，以防范此類攻擊。

在勒索軟件攻擊中被積極利用

Stroz Friedberg的研究人員解釋說，SentinelOne 通過一項防篡改保護功能來保護其 EDR 代理，該功能要求在 SentinelOne 管理控制臺中進行手動操作或輸入唯一代碼才能移除代理。

然而，與許多其他軟件安裝程序一樣，在安裝不同版本的代理程序時，SentinelOne 安裝程序會在現有文件被新版本覆蓋之前終止任何相關的 Windows 進程。

威脅者發現他們可以利用這一短暫的機會窗口，運行一個合法的 SentinelOne 安裝程序，然后在安裝程序關閉正在運行的代理服務后強行終止安裝過程，從而使設備處于未受保護的狀態。

自帶安裝器EDR繞過攻擊鏈

今年早些時候，Stroz Friedberg被委托調查對客戶網絡的攻擊，日志顯示攻擊者通過漏洞獲得了對客戶網絡的管理訪問權限。

然后，攻擊者通過在SentinelOne Windows Installer（“msiexec.exe”）進程安裝和啟動新版本的代理程序之前終止該進程，使用了這種新的繞過。由于設備上的保護被禁用，威脅者隨后能夠部署勒索軟件。

威脅者可以利用新版本或舊版本的代理來進行這種攻擊，所以即使最新版本在設備上運行，他們仍然容易受到攻擊。

Stroz Friedberg在報告中說：“Stroz Friedberg還觀察到，在安裝程序終止后不久，SentinelOne管理控制臺的主機就離線了。進一步的測試表明，攻擊成功地跨越了多個版本的SentinelOne代理，并且不依賴于本次事件中觀察到的特定版本。”

SentinelOne已于2025年1月私下與客戶分享了緩解措施。緩解措施是在哨兵策略設置中啟用“在線授權”功能，啟用該功能時，需要在發生代理的本地升級、降級或卸載之前獲得SentinelOne管理控制臺的批準。

SentinelOne還與所有其他主要的EDR供應商分享了Stroz Friedberg關于這項新技術的建議，以防他們也受到影響。經證實，這次攻擊并未影響其EDR軟件。

參考及來源：https://www.bleepingcomputer.com/news/security/new-bring-your-own-installer-edr-bypass-used-in-ransomware-attack/