新的自带安装程序（BYOI）技术可绕过EDR检测

安联旗下Stroz Friedberg实验室发现了一种新型"自带安装程序(BYOI)"攻击技术，该技术利用SentinelOne升级流程的漏洞绕过其防篡改保护，导致终端处于无保护状态。研究人员未观察到攻击者使用任何恶意驱动文件。

这项发现源于一起实际攻击事件的调查——攻击者在获取本地管理员权限后，未触发防篡改机制就成功绕过了EDR防护。在禁用EDR代理后，攻击者随即部署了Babuk勒索软件。取证分析显示，系统存在快速的版本变更记录、安装程序使用痕迹以及与EDR篡改相关的事件日志，但未发现任何易受攻击驱动程序的调用。

研究人员在报告中指出："根据取证证据评估，攻击者很可能是通过本地升级流程的漏洞绕过防护。经确认，受攻击环境当时未启用本地升级/降级的在线授权验证机制。"实验人员在运行SentinelOne 23.4.6.223版本的Windows Server 2022系统上复现了该漏洞：当启动新版安装程序(MSI文件)后，系统会通过msiexec.exe终止现有进程准备升级，此时若利用管理员权限中断安装流程，将导致旧进程已终止而新进程未启动的防护真空状态，该终端甚至会在控制台显示为离线。

测试显示，针对不同版本的SentinelOne代理程序，只要精准中断升级过程均可实现绕过。报告最后说明："SentinelOne在接到通报后迅速响应，向客户发布了缓解指南。其管理控制台的策略菜单中提供的'在线授权'功能可禁用本地升降级操作，但Stroz Friedberg测试时该选项默认处于关闭状态。"

原文始发于微信公众号（黑猫安全）：新的“自带安装程序（BYOI）”技术可绕过EDR检测