bb贝博代理

公司新闻

bb贝博代理:新式 “自带装置程序” EDR 旁路技能被用于勒索软件进犯

发布日期:2025-08-10 05:38:46 作者: bb贝博代理
bb贝博官方:

  一种新的“自带装置程序”EDR 旁路技能在进犯中被使用,以绕过 SentinelOne 的防篡改维护功用,使歹意分子可以禁用端点检测和呼应(EDR)署理,然后装置 Babuk 勒索软件。

  这种技能使用了署理晋级进程中的一个缝隙,使要挟者可以停止正在运转的 EDR 署理,然后使设备失掉维护。

  此次进犯是由 Stroz Friedberg事情呼应团队的人员在与本年早一点的时分遭受勒索软件进犯的一位客户协作期间发现的。

  该技能并非像咱们一般看到的 EDR 旁路那样依靠第三方东西或驱动程序,而是乱用 SentinelOne 装置程序自身。

  SentinelOne 主张客户启用默许封闭的“在线授权”设置,以防备此类进犯。

  Stroz Friedberg的研究人员解说说,SentinelOne 经过一项防篡改维护功用来维护其 EDR 署理,该功用要求在 SentinelOne 办理操控台中进行手动操作或输入仅有代码才干移除署理。

  但是,与许多其他软件装置程序相同,在装置不同版别的署理程序时,SentinelOne 装置程序会在现有文件被新版别掩盖之前停止任何相关的 Windows 进程。

  要挟者发现他们可以使用这一时间短的时机窗口,运转一个合法的 SentinelOne 装置程序,然后在装置程序封闭正在运转的署理服务后强行停止装置进程,然后使设备处于未受维护的状况。

  本年早些时分,Stroz Friedberg被托付调查对客户网络的进犯,日志显现进犯者经过缝隙取得了对客户网络的办理拜访权限。

  然后,进犯者经过在SentinelOne Windows Installer(“msiexec.exe”)进程装置和发动新版别的署理程序之前停止该进程,使用了这种新的绕过。因为设备上的维护被禁用,要挟者随后可以布置勒索软件。

  要挟者可经过新版别或旧版别的署理来进行这种进犯,所以即便最新版别在设备上运转,他们依然简单遭到进犯。

  Stroz Friedberg在陈述中说:“Stroz Friedberg还观察到,在装置程序停止后不久,SentinelOne办理操控台的主机就离线了。进一步的测验标明,进犯成功地跨过了多个版别的SentinelOne署理,而且不依靠于本次事情中观察到的特定版别。”

  SentinelOne已于2025年1月暗里与客户共享了缓解办法。缓解办法是在岗兵战略设置中启用“在线授权”功用,启用该功用时,需要在产生署理的本地晋级、降级或卸载之前取得SentinelOne办理操控台的同意。

  SentinelOne还与一切其他首要的EDR供货商共享了Stroz Friedberg关于这项新技能的主张,以防他们也受必定的影响。经证明,这次进犯并未影响其EDR软件。

公司新闻