Μια νέα τεχνική παράκαμψης EDR με την ονομασία “Bring Your Own Installer” χρησιμοποιείται σε επιθέσεις για την παράκαμψη της λειτουργίας προστασίας από παραβιάσεις (tamper protection) του SentinelOne, επιτρέποντας στους επιτιθέμενους να απενεργοποιήσουν τους πράκτορες ανίχνευσης και απόκρισης τερματικών (EDR) και να εγκαταστήσουν το ransomware Babuk.
Δείτε επίσης: Χάκερ χρησιμοποιούν το Eye Pyramid Tool για να αναπτύξουν malware
Η τεχνική αυτή εκμεταλλεύεται ένα κενό στη διαδικασία αναβάθμισης του πράκτορα, το οποίο επιτρέπει στους επιτιθέμενους να τερματίσουν τους ενεργούς EDR πράκτορες, αφήνοντας τις συσκευές χωρίς προστασία.
Η επίθεση εντοπίστηκε από τους John Ailes και Tim Mashni της ομάδας Αντιμετώπισης Περιστατικών της Aon’s Stroz Friedberg, αφού ένας πελάτης υπέστη επίθεση ransomware νωρίτερα φέτος. Η συγκεκριμένη τεχνική δεν βασίζεται σε εργαλεία ή προγράμματα οδήγησης τρίτων, όπως συμβαίνει συνήθως με παρακάμψεις EDR, αλλά εκμεταλλεύεται τον ίδιο τον εγκαταστάτη του SentinelOne.
Η SentinelOne συνιστά στους πελάτες να ενεργοποιήσουν τη ρύθμιση “Online Authorization“, η οποία είναι απενεργοποιημένη από προεπιλογή, για την αποτροπή αυτής της επίθεσης.
Οι ερευνητές της Stroz Friedberg εξηγούν ότι το SentinelOne προστατεύει τον πράκτορά του EDR με μια λειτουργία κατά της παραβίασης (anti-tamper protection), η οποία απαιτεί είτε χειροκίνητη ενέργεια μέσω της κονσόλας διαχείρισης του SentinelOne είτε την εισαγωγή ενός μοναδικού κωδικού για την απεγκατάσταση του πράκτορα.
Ωστόσο, όπως συμβαίνει με πολλούς εγκαταστάτες λογισμικού, κατά την εγκατάσταση διαφορετικής έκδοσης του πράκτορα, ο εγκαταστάτης του SentinelOne τερματίζει οποιεσδήποτε σχετικές διεργασίες των Windows λίγο πριν αντικατασταθούν τα υπάρχοντα αρχεία με τη νέα έκδοση.
Δείτε ακόμα: Hackers στοχεύουν την υποδομή και πελάτες της SentinelOne
Οι επιτιθέμενοι ανακάλυψαν ότι μπορούσαν να εκμεταλλευτούν αυτό το σύντομο χρονικό «παράθυρο» εκτελώντας έναν έγκυρο εγκαταστάτη του SentinelOne και στη συνέχεια διακόπτοντας βίαια τη διαδικασία εγκατάστασης μόλις τερματιστούν οι υπηρεσίες του πράκτορα, αφήνοντας έτσι τις συσκευές χωρίς προστασία.
Στις αρχές του έτους, η Stroz Friedberg ανέλαβε τη διερεύνηση μιας επίθεσης σε δίκτυο πελάτη, με τα αρχεία καταγραφής να δείχνουν ότι οι επιτιθέμενοι απέκτησαν διαχειριστική πρόσβαση μέσω μιας ευπάθειας στο σύστημα του πελάτη. Στη συνέχεια, οι επιτιθέμενοι χρησιμοποίησαν αυτή τη νέα τεχνική παράκαμψης, τερματίζοντας τη διαδικασία εγκατάστασης του SentinelOne στα Windows (“msiexec.exe”) πριν ολοκληρωθεί η εγκατάσταση και ενεργοποίηση της νέας έκδοσης του πράκτορα. Με την προστασία της συσκευής απενεργοποιημένη, κατάφεραν να εγκαταστήσουν το ransomware.
Σε συνομιλία του με το BleepingComputer, ο Ailes ανέφερε ότι οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν είτε παλαιότερες είτε νεότερες εκδόσεις του πράκτορα για την επίθεση, πράγμα που σημαίνει ότι ακόμη και αν στις συσκευές τρέχει η πιο πρόσφατη έκδοση, παραμένουν ευάλωτες.
Η Stroz Friedberg γνωστοποίησε υπεύθυνα αυτή την επίθεση στη SentinelOne, η οποία με τη σειρά της κοινοποίησε ιδιωτικά μέτρα αντιμετώπισης στους πελάτες της τον Ιανουάριο του 2025.
Το προτεινόμενο μέτρο είναι η ενεργοποίηση της λειτουργίας “Online Authorization” στις ρυθμίσεις πολιτικής του Sentinel, η οποία, όταν είναι ενεργή, απαιτεί έγκριση μέσω της κονσόλας διαχείρισης του SentinelOne πριν πραγματοποιηθεί οποιαδήποτε τοπική αναβάθμιση, υποβάθμιση ή απεγκατάσταση του πράκτορα. Η SentinelOne επίσης κοινοποίησε την ειδοποίηση της Stroz Friedberg σχετικά με αυτή τη νέα τεχνική και σε άλλους μεγάλους παρόχους λύσεων EDR, σε περίπτωση που επηρεάζονται και εκείνοι.
Δείτε επίσης: Κατάχρηση του remote control feature του Zoom για κλοπή crypto
Κάτι ιδιαίτερα σημαντικό που προκύπτει από τα παραπάνω είναι το γεγονός ότι οι επιθέσεις αυτού του τύπου δεν βασίζονται σε περίπλοκα ή εξειδικευμένα εργαλεία τρίτων, αλλά στην κατάχρηση επίσημων και έγκυρων εργαλείων του ίδιου του κατασκευαστή, όπως ο εγκαταστάτης του SentinelOne. Αυτή η τακτική — γνωστή και ως living-off-the-land — καθιστά την ανίχνευση και την αποτροπή πολύ πιο δύσκολη, επειδή χρησιμοποιούνται νόμιμες διεργασίες που δεν εγείρουν άμεσα υποψίες.
Πηγή: bleepingcomputer
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/647484/nea-parakampsei-edr-bring-your-own-installer-xrisimopoieitai-epitheseis-ransomware/&media=https://cdnglobal.secnews.gr/wp-content/uploads/2025/05/06110610/EDR-bypass-bring-your-own-installer.jpg&description=Μια νέα τεχνική παράκαμψης EDR με την ονομασία "Bring Your Own Installer" χρησιμοποιείται σε επιθέσεις ransomware.){kind=link}