พบเทคนิค EDR bypass "Bring Your Own Installer" รูปแบบใหม่ ที่ถูกใช้ประโยชน์ในการโจมตีเพื่อ bypass คุณสมบัติการป้องกันการปลอมแปลง (tamper protection feature) ของ SentinelOne ทำให้ Hacker สามารถปิดใช้งาน endpoint detection and response (EDR) agents เพื่อติดตั้ง Babuk ransomware ได้
เทคนิคนี้ใช้ประโยชน์จากช่องว่างใน agent upgrade process ซึ่งทำให้ผู้โจมตีสามารถยุติการทำงานของ EDR agents ส่งผลให้อุปกรณ์ไม่ได้รับการป้องกัน
การโจมตีครั้งนี้ถูกค้นพบโดย John Ailes และ Tim Mashni จากทีมตอบสนองต่อเหตุการณ์ Stroz Friedberg ของ Aon ระหว่างการช่วยตรวจสอบให้กับลูกค้าที่ประสบปัญหาการโจมตีด้วยแรนซัมแวร์เมื่อต้นปีนี้
เทคนิคนี้ไม่ได้พึ่งพาเครื่องมือหรือ third-party tools เหมือนที่เคยเห็นโดยทั่วไปกับการ Bypass EDR แต่ใช้การโจมตีที่ SentinelOne installer แทน
SentinelOne ขอแนะนำให้ลูกค้าเปิดใช้งานการตั้งค่า "Online Authorization" ซึ่งปิดใช้งานไว้ตามค่าเริ่มต้น เพื่อลดความเสี่ยงจากการโจมตีนี้
John Ailes ผู้จัดการ Stroz Friedberg DFIR ของ Aon ให้ข้อมูลกับ BleepingComputer ว่า "เราต้องเผยแพร่ข้อมูลเพื่อให้แน่ใจว่าลูกค้าของ SentinelOne ทราบถึงการเปิดใช้งาน Local Upgrade protection"
“เราได้ตรวจสอบระบบที่มีการใช้งาน SentinelOne ตั้งแต่มีการส่งคำแนะนำไปยังลูกค้า และพบว่าลูกค้ายังไม่ได้เปิดใช้งานเลย การแจ้งเตือนดังกล่าวก็เพื่อลดความเสี่ยงจากการ bypass นี้ ซึ่งถือเป็นสิ่งที่สำคัญที่สุด”
ถูกใช้ในการโจมตี ransomware
นักวิจัย Stroz Friedberg อธิบายว่า SentinelOne ปกป้อง EDR agent ด้วยความสามารถการป้องกันการแทรกแซง (anti-tamper protection feature) ซึ่งจำเป็นต้องมีการดำเนินการด้วยตนเองใน SentinelOne management console หรือใช้รหัสเฉพาะ (unique code) เพื่อลบ EDR agent
อย่างไรก็ตาม เช่นเดียวกับโปรแกรมติดตั้งซอฟต์แวร์อื่น ๆ เมื่อติดตั้ง EDR agent เวอร์ชันอื่น โปรแกรมติดตั้ง SentinelOne จะยุติ Windows processes ที่เกี่ยวข้องทั้งหมดทันที ก่อนที่ไฟล์เดิมจะถูกเขียนทับด้วยเวอร์ชันใหม่
Hacker ค้นพบว่าสามารถใช้ช่องโหว่นี้โดยการเรียกใช้โปรแกรม SentinelOne installer จากนั้นจึงยุติกระบวนการติดตั้งหลังจากที่โปรแกรมปิด services ของ EDR agent ที่กำลังทำงานอยู่ จึงทำให้อุปกรณ์จะไม่ได้รับการป้องกัน
เมื่อต้นปี 2025 Stroz Friedberg ได้รับมอบหมายให้สืบสวนการโจมตีเครือข่ายของลูกค้า โดยมี log ที่แสดงให้เห็นว่า Hacker ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบบนเครือข่ายของลูกค้าผ่านทางช่องโหว่
จากนั้น Hacker จะใช้เทคนิค bypass ใหม่นี้เพื่อหยุดการทำงาน SentinelOne Windows Installer ("msiexec.exe") ก่อนที่จะสามารถติดตั้ง และเปิดใช้งาน agent เวอร์ชันใหม่ได้ เมื่อปิดการป้องกันบนอุปกรณ์ จากนั้นทำให้ Hacker สามารถโจมตีด้วย ransomware ได้
Ailes ระบุว่า Hacker สามารถใช้ EDR agent เวอร์ชันใหม่ หรือเก่ากว่าเพื่อดำเนินการโจมตี ดังนั้นแม้ว่า EDR agent เวอร์ชันล่าสุดจะทำงานบนอุปกรณ์ แต่ก็ยังคงมีช่องโหว่อยู่ดี
รวมถึง Stroz Friedberg ยังสังเกตุว่าโฮสต์ได้ออฟไลน์ใน SentinelOne management console ไม่นานหลังจาก EDR agent หยุดทำงาน
“การทดสอบเพิ่มเติมแสดงให้เห็นว่าการโจมตีประสบความสำเร็จกับ SentinelOne agent หลายเวอร์ชัน และไม่ได้ขึ้นอยู่กับเวอร์ชันเฉพาะที่ตรวจพบในเหตุการณ์นี้เท่านั้น”
Stroz Friedberg ได้เปิดเผยการโจมตีนี้ต่อ SentinelOne ซึ่งได้แบ่งปันแนวทางลดผลกระทบให้กับลูกค้าเป็นการส่วนตัวในเดือนมกราคม 2025
การป้องกันโจมตีคือการเปิดใช้งาน "Online Authorization" feature ในการตั้งค่า Sentinel Policy settings ซึ่งเมื่อเปิดใช้งานแล้ว จะต้องได้รับการอนุมัติจาก SentinelOne management console ก่อน ถึงจะสามารถอัปเกรด, ดาวน์เกรด หรือถอนการติดตั้ง EDR agent ในเครื่องได้
SentinelOne ยังได้แบ่งปันคำแนะนำของ Stroz Friedberg เกี่ยวกับเทคนิคใหม่นี้กับผู้จำหน่าย EDR รายใหญ่รายอื่น ๆ ในกรณีที่พวกเขาได้รับผลกระทบด้วยเช่นกัน
Palo Alto Networks ยืนยันกับ Stroz Friedberg ว่าการโจมตีนี้ไม่ส่งผลกระทบต่อซอฟต์แวร์ EDR ของบริษัท
อัปเดต 05/06/2025
หลังจากที่เผยแพร่ข้อมูลดังกล่าว Sentinel One ออกมายืนยัน รายงานของ Stroz Friedberg และระบุว่าเทคนิคนี้ก่อให้เกิดการโจมตีในลักษณะเดียวกันกับผู้จำหน่าย EDR รายอื่น ๆ
SentinelOne ยังได้แบ่งปันผลการวิจัยของ Stroz กับผู้จำหน่าย EDR ชั้นนำ เนื่องจากเทคนิคดังกล่าวเป็นเทคนิคที่สามารถนำไปใช้กับ endpoint protection products ได้
Sentinel One ได้แบ่งปันคำแนะนำเพื่อป้องกันการโจมตีดังนี้ :
1. ทาง Sentinel One มีวิธีการป้องกันการโจมตีประเภท Bypass ดังนี้
- Local agent passphrase ได้รับการเปิดใช้งานตามค่าเริ่มต้นเพื่อป้องกันการถอนการติดตั้ง agent ที่ไม่ได้รับอนุญาต และยังเปิดใช้งานเพื่อป้องกันการอัปเกรด agent ที่ไม่ได้รับอนุญาตได้อีกด้วย
- Local Upgrade Authorization feature เพื่อให้มั่นใจว่าการอัปเกรดได้รับการตรวจสอบผ่าน SentinelOne console ซึ่งเป็นวิธีที่แนะนำเพื่อป้องกันการโจมตีประเภท Bypass
2. หากลูกค้าได้เปิดใช้งานวิธีการตามข้อ 1 จะได้รับการปกป้องจากการโจมตีประเภท Bypass ได้โดยสมบูรณ์
3. การกำหนดค่า local upgrade protection configuration ไม่ได้เปิดใช้งานตามค่าเริ่มต้นสำหรับลูกค้าปัจจุบัน เพื่อให้แน่ใจว่าการดำเนินการมีความต่อเนื่องกับ deployment and upgrade workflows ที่มีอยู่ โดยเฉพาะอย่างยิ่งในเครื่องมือของ third-party tools เช่น System Center Configuration Manager
Sentinel One ได้ยืนยันกับ BleepingComputer ว่า Local Upgrade Authorization feature จะเป็นการตั้งค่า "Online Authorization" แบบเดียวกับที่ได้กล่าวไว้ก่อนหน้านี้
แม้ว่าการตั้งค่านี้จะยังคงอยู่ในสถานะปัจจุบันสำหรับลูกค้า Sentinel One ที่มีอยู่ แต่บริษัทระบุว่าขณะนี้ได้เปิดใช้งานเป็นค่าเริ่มต้นสำหรับการติดตั้งใหม่แล้ว Sentinel One ยังระบุด้วยว่ากำลังติดต่อกับลูกค้าอีกครั้งเพื่อแจ้งให้ทราบว่าควรเปิดใช้งานการตั้งค่านี้
ที่มา : bleepingcomputer
You must be logged in to post a comment.