为了让攻击行动能顺利进行,不备受害企业组织发现异状,黑客通常会试图左右杀毒软件及EDR系统的运行来达到目的,其中一种最常见的手法,是利用存在弱点的旧版驱动程序来进行,这种手法被称为自带驱动程序(Bring Your Own Vulnerable Driver,BYOVD),如今黑客自行携带合法文件的做法出现了变化。
保险企业怡安(Aon)旗下的事件回应服务团队Stroz Friedberg近期观察到一种运用于实际攻击行动的新手法,黑客为了回避SentinelOne端点代理程序的系统侦测与防篡改能力,他们竟滥用此EDR系统的端点代理程序安装文件来达到目的,从而成功于受害计算机部署勒索软件Babuk。研究人员将这种以往未曾出现过的手法,称作“自带安装程序(Bring Your Own Installer)”。
对此,怡安向SentinelOne通报他们的发现,该安全企业迅速做出回应,向用户发布缓解问题的指引。SentinelOne指出,针对本机代理程序升级或降级的作业,管理者可激活通过线上批准(OnlineAuthorization)的机制来进行审核,来防范相关攻击。不过值得留意的是,这项政策并未默认激活,管理者必须手动打开。
针对这起事故发生的过程,怡安指出黑客先是借由应用系统的已知漏洞,从能够公开访问的服务器得到本机管理权限,然后产生多个SentinelOne安装文件,这些安装程序全部具备合法签章。但究竟黑客如何取得合法的安装程序,研究人员并未说明。
研究人员根据受害计算机的事件记录数据,指出黑客很可能利用本机升级、降级过程出现的弱点,而能绕过EDR系统的防护。后续他们进一步确认,受害组织并未激活线上批准机制,使得黑客能在本机执行安装程序,进行升级或降级的作业。不过,攻击者又是如何入侵其他部署SentinelOne代理程序的计算机,研究人员没有交代。
究竟黑客滥用合法安装程序升级或降级的目的为何?怡安指出,MSI安装文件在执行的过程里,会将原本部署代理程序所有的处理程序停用。
为了确认黑客的手法,他们架设了实验环境进行验证,结果发现在执行MSI文件之后,计算机就会逐步终止原本端点代理程序的处理程序,约在安装程序将组件更新前的55秒,会全部停止。换言之,这让黑客有机可乘,只要此时终止msiexec.exe中断安装流程,就能达到停用EDR代理程序的目的。
