為了讓攻擊行動能順利進行,不被受害企業組織察覺異狀,駭客通常會試圖左右防毒軟體及EDR系統的運作來達到目的,其中一種最常見的手法,是利用存在弱點的舊版驅動程式來進行,這種手法被稱為自帶驅動程式(Bring Your Own Vulnerable Driver,BYOVD),如今駭客自行攜帶合法檔案的做法出現了變化。
保險業者怡安(Aon)旗下的事件回應服務團隊Stroz Friedberg近期觀察到一種運用於實際攻擊行動的新手法,駭客為了迴避SentinelOne端點代理程式的系統偵測與防竄改能力,他們竟濫用此EDR系統的端點代理程式安裝檔來達到目的,從而成功於受害電腦部署勒索軟體Babuk。研究人員將這種過往未曾出現過的手法,稱做「自帶安裝程式(Bring Your Own Installer)」。
對此,怡安向SentinelOne通報他們的發現,該資安業者迅速做出回應,向用戶發布緩解問題的指引。SentinelOne指出,針對本機代理程式升級或降級的作業,管理者可啟用通過線上批准(Online Authorization)的機制來進行審核,來防範相關攻擊。不過值得留意的是,這項政策並未預設啟用,管理者必須手動開啟。
針對這起事故發生的過程,怡安指出駭客先是藉由應用系統的已知漏洞,從能夠公開存取的伺服器得到本機管理權限,然後產生多個SentinelOne安裝檔案,這些安裝程式全數具備合法簽章。但究竟駭客如何取得合法的安裝程式,研究人員並未說明。
研究人員根據受害電腦的事件記錄資料,指出駭客很可能利用本機升級、降級過程出現的弱點,而能繞過EDR系統的防護。後續他們進一步確認,受害組織並未啟用線上批准機制,使得駭客能在本機執行安裝程式,進行升級或降級的作業。不過,攻擊者又是如何入侵其他部署SentinelOne代理程式的電腦,研究人員沒有交代。
究竟駭客濫用合法安裝程式升級或降級的目的為何?怡安指出,MSI安裝檔案在執行的過程裡,會將原本部署代理程式所有的處理程序停用。
為了確認駭客的手法,他們架設了實驗環境進行驗證,結果發現在執行MSI檔案之後,電腦就會逐步終止原本端點代理程式的處理程序,約在安裝程式將元件更新前的55秒,會全部停止。換言之,這讓駭客有機可乘,只要此時終止msiexec.exe中斷安裝流程,就能達到停用EDR代理程式的目的。
熱門新聞
2025-05-12
2025-05-12
2025-05-12
2025-05-12
2025-05-09
2025-05-12