Güvenlik araştırmacıları tarafından son nokta güvenliği korumasını devre dışı bırakan gelişmiş yeni bir saldırı yöntemi, tehdit aktörlerinin fidye yazılımlarını tespit edilmemesini sağlayan tanımlanmıştır.
“Kendi Yükleyicinizi Getirin” olarak adlandırılan teknik, yakın zamanda bir Babuk fidye yazılımı saldırısının araştırılması sırasında Aon’un Stroz Friedberg olay müdahale ekibi tarafından keşfedildi.
Yöntem, SentinelOne’un ajan yükseltme işlemindeki bir güvenlik açığından yararlanır ve saldırganların idari konsol erişimi veya özel araçlar gerektirmeden EDR çözümünün anti-zımpara korumasını atlatmalarını sağlar.
.png
)
Saldırı nasıl çalışır
Bypass tekniği, Sentinelone Agent güncelleme işlemi sırasında kritik bir zamanlama kırılganlığından yararlanıyor, Aon’s Stroz Friedberg gözlemledi,
Sentinelone aracının farklı bir sürümünü yüklerken, yükleyici, mevcut dosyaları yeni sürümle üzerine yazmadan önce ilişkili tüm Windows işlemlerini sonlandırır.
Saldırganlar bu fırsat penceresini aşağıdakilerden kullanır:
- Meşru imzalı SentinelOne yükleyici dosyalarını (SentineloneInstaller_windows_64bit_v23_4_4_223.exe veya sentinelinstaller_windows_64bit_v23_4_6_347.msi) dağıtmak.
- Yükleyicinin çalışan EDR işlemlerini sonlandırmasına izin vermek.
- Yüklemeyi tamamlayabilmeden önce Windows yükleyici (msiexec.exe) işlemini zorla sonlandırır.
- Sistemi aktif bir DeNineelone işlemi olmadan korumasız bir durumda bırakmak.
Korunmasız sürücülere veya üçüncü taraf araçlara dayanan diğer EDR bypass yöntemlerinin aksine, bu teknik kendilerine karşı meşru Sentinelone montajcılarını kullanır.
Adli kanıtlar, SentinelOne operasyonel günlüklerinde son olay olarak “komutan: boşalma” ile eventID 93 ve “Msiinstaller çıktı” gösteren uygulama günlüklerinde Eventid 1042’yi içerir.
EDR koruması devre dışı bırakıldıktan sonra, saldırganlar Windows ve Linux dahil olmak üzere birden fazla platformu hedefleyen sofistike bir şifreleme kötü amaçlı yazılım olan Babuk Ransomware’i dağıtır. Babuk 2020’nin başlarında ortaya çıktı ve hizmet olarak fidye yazılımı (RAAS) modeli olarak faaliyet gösteriyor.
Babuk, enfekte bilgisayarlarda dosyaları kilitlemek için AES-256 şifrelemesini kullanır ve şifreleme işlemini engelleyebilecek süreç ve hizmetleri sonlandırmaya çalışır. Şifreleme tamamlandıktan sonra, ödeme talimatlarıyla bir fidye notu görüntüler.
Azaltma adımları
Sentinelone, Friedberg’in açıklamasına derhal cevap verdi ve Ocak 2025’te müşterilere rehberlik yaptı.
Kritik azaltma, herhangi bir yerel yükseltme, indirme veya kaldırma gerçekleşmeden önce yönetim konsolundan onay gerektiren SentinelOne’un politika ayarlarında “çevrimiçi yetkilendirme” özelliğini sağlamaktır.
“Özellik varsayılan olarak kapalıdır. Günün sonunda, bu baypayı azaltmak için kelimeyi almak en önemli şeydir” diye uyarıyor Ailes.
Sentinelone bu danışmanlığı diğer büyük EDR satıcılarıyla da paylaştı. Palo Alto Networks, EDR çözümünün bu saldırı yönteminden etkilenmediğini doğruladı.
Stroz Friedberg, kuruluşlara şunları önerir:
- “Çevrimiçi Yetkilendirme” ayarını hemen etkinleştirin.
- Beklenmedik Sentinelone sürüm değişiklikleri için sistemleri izleyin (EventId 1).
- Kısa dönemlerde farklı sürümler arasında birden fazla ürün değişikliği değişikliğini izleyin.
- Sentinelone hizmetlerinin ani sonlandırılması için olay günlüklerini kontrol edin.
Bu keşif, EDR bypass tekniklerinin sürekli evrimini vurgulamakta ve kuruluşların güvenlik araçlarını düzgün bir şekilde yapılandırması ve uç nokta koruma çözümlerini hedefleyen ortaya çıkan tehditlerin farkındalığını sürdürme ihtiyacını güçlendirir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri