最近,一种新的”自带安装程序”EDR绕过技术被攻击者用于绕过SentinelOne的防篡改功能,从而禁用端点检测与响应(EDR)代理并安装Babuk勒索软件。据报道,该技术利用了代理升级过程中存在的一个漏洞,使得攻击者可以终止正在运行的EDR代理,导致设备防护失效。
这次攻击由Aon的Stroz Friedberg事件响应团队的John Ailes和Tim Mashni在今年早些时候的一次客户参与中发现。此技术不依赖于我们通常看到的第三方工具或驱动程序,而是滥用SentinelOne安装程序本身。
SentinelOne建议客户启用默认关闭的”在线授权”设置,以缓解此攻击。Stroz Friedberg的研究人员解释说,SentinelOne通过管理控制台或唯一代码来保护其EDR代理,但攻击者发现可以在安装新的代理版本时利用这个机会,强制终止安装进程,从而使设备失去保护。