Yeni bir “kendi yükleyicinizi getir” EDR bypass tekniği, SentinelOn’un kurcalama koruma özelliğini atlamaya yönelik saldırılarda kullanılır ve tehdit aktörlerinin Babuk fidye yazılımlarını yüklemesi için uç nokta algılama ve yanıt (EDR) ajanlarını devre dışı bırakmasına izin verir.
Bu teknik, aracı yükseltme sürecinde, tehdit aktörlerinin çalışan EDR ajanlarını sonlandırmasını sağlayan ve cihazları korumasız bırakmasına izin veren bir boşluktan yararlanır.
Saldırı, bu yılın başlarında fidye yazılımı saldırısı geçiren bir müşteriyle nişan sırasında Aon’un Stroz Friedberg olay müdahale ekibinden John Ailes ve Tim Mashni tarafından keşfedildi.
Teknik, normalde EDR bypass ile gördüğümüz gibi üçüncü taraf araçlara veya sürücülere güvenmez, bunun yerine Sentinelone yükleyicisinin kendisini kötüye kullanır.
SentinelOne, müşterilerin bu saldırıyı azaltmak için varsayılan olarak kapatılan “çevrimiçi yetkilendirme” ayarını etkinleştirmesini önerir.
Aon’un Stroz Friedberg DFIR yöneticisi John Ailes, BleepingComputer’a verdiği demeçte, “Sentinelone’un müşterilerinin yerel yükseltme korumasını etkinleştirmeyi bilmesini sağlamak için söz almak istiyoruz.” Dedi.
Diyerek şöyle devam etti: “Rehberlikleri müşterilere gönderildiğinden ve hala etkin olmayan müşterileri gördükleri için SentinelOne ile olan ortamları araştırdık. Günün sonunda, bu bypass’ı azaltmak için kelimeyi almak en önemli şey.”
Fidye yazılımı saldırılarında aktif olarak sömürüldü
Stroz Friedberg araştırmacıları, SentinelOne’un EDR aracısını, Sentinelone yönetim konsolunda manuel eylem veya bir aracı kaldırmak için benzersiz bir kod gerektiren bir zımpara önleme koruma özelliği ile koruduğunu açıklar.
Ancak, diğer birçok yazılım yükleyicisi gibi, aracının farklı bir sürümünü yüklerken, SentinelOne yükleyicisi, mevcut dosyaların üzerine yeni sürümle yazılmadan hemen önce ilişkili Windows işlemlerini sonlandırır.
Tehdit oyuncusu, meşru bir Sentinelone yükleyicisini çalıştırarak ve daha sonra çalışanların hizmetlerini kapattıktan ve cihazları korumasız bıraktıktan sonra yükleme işlemini zorla sonlandırarak bu küçük fırsat penceresini kullanabileceklerini keşfettiler.
Kaynak: Stroz Friedberg
Bu yılın başlarında, Stroz Friedberg, bir müşterinin ağına yapılan bir saldırıyı araştırmak için nişanlandı ve günlükler, saldırganların bir güvenlik açığı yoluyla müşterinin ağına idari erişim sağladığını gösteriyor.
Saldırganlar daha sonra Sentinelone Windows yükleyicisini sonlandırarak bu yeni bypass’ı kullandı (“msiexec.exe“) Ajanın yeni sürümünü yüklemeden ve başlatmadan önce işlem. Korumalar cihazda devre dışı bırakıldığında, tehdit aktörleri fidye yazılımlarını dağıtabildi.
BleepingComputer ile yapılan bir konuşmada Ailes, tehdit aktörlerinin bu saldırıyı gerçekleştirmek için acentenin yeni veya eski sürümlerini kullanabileceğini söyledi, bu nedenle en son sürüm cihazlarda çalışsa bile, hala savunmasız olduklarını söyledi.
Stroz Friedberg’in raporu, “Stroz Friedberg, kurulumcunun feshedildikten kısa bir süre sonra Sentinelone yönetim konsolunda ev sahibinin çevrimdışı olduğunu da gözlemledi.”
Diyerek şöyle devam etti: “Daha fazla test, saldırının Sentinelone ajanının birçok versiyonunda başarılı olduğunu ve bu olayda gözlenen belirli versiyonlara bağlı olmadığını gösterdi.”
Stroz Friedberg, bu saldırıyı Ocak 2025’te müşterilerle özel olarak paylaşan Sentinelone’a sorumlu bir şekilde açıkladı.
Azaltma, Sentinel ilke ayarlarında, etkinleştirildiğinde, yerel yükseltmeler, indirme işlemleri veya kaldırma aracısının ortaya çıkmasından önce Sentinelone yönetim konsolundan onay gerektiren “Çevrimiçi Yetkilendirme” özelliğini etkinleştirmektir.
Sentinelone ayrıca, etkilenmeleri durumunda, diğer tüm büyük EDR satıcılarıyla bu yeni teknikle ilgili Stroz Friedberg’in danışmanlığını da paylaştı.
Palo Alto Networks, Friedberg’e bu saldırının EDR yazılımını etkilemediğini doğruladı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.