网络安全攻防对抗持续升级,近期一种名为“自带安装程序”(Bring Your Own Installer, BYOI)的新型端点检测与响应(EDR)绕过技术浮出水面,并已被证实在实际攻击中被利用,其目标直指业界领先的 EDR 解决方案之一 —— SentinelOne。该技术通过巧妙利用 SentinelOne Agent 自身的安装逻辑缺陷,绕过其核心的防篡改保护,从而禁用 EDR 防护,为后续的勒索软件部署等恶意活动铺平道路。
技术核心:“自带安装程序”(BYOI) 的双重含义与运作机制
该技术由知名网络安全公司 Aon 旗下 Stroz Friedberg 的事件响应专家 John Ailes 和 Tim Mashni 在处理一宗发生在 2025 年初的 Babuk 勒索软件攻击事件时发现。BYOI 的命名巧妙地揭示了其核心特点:
- 攻击者“带来”安装程序
实施此攻击的前提是攻击者必须已获得目标系统的管理员权限(例如通过漏洞利用、凭证窃取等方式)。然后,他们将一个合法、经过签名的 SentinelOne Agent 安装程序(可以是任意版本,甚至旧版本)“带”到受感染的系统上。这强调了 BYOI 是一种权限维持和防御规避技术,而非权限提升手段。 - 利用 Agent 自身的安装逻辑
与许多依赖第三方工具或利用有漏洞驱动程序(Vulnerable Drivers)来终止 EDR 进程的传统绕过方法截然不同,BYOI 攻击的“高明”之处在于它直接滥用了 SentinelOne Agent 自身设计中的一个逻辑缺陷,即在版本升级或安装过程中的一个短暂的操作窗口期。
攻击步骤拆解:
- 触发安装/升级流程
获得管理员权限的攻击者,在目标系统上启动合法的 SentinelOne Agent 安装程序(MSI 文件)。 - 利用预期行为:停止现有服务
SentinelOne 的安装程序,像许多软件一样,在替换文件前,会先执行一个预期操作:停止当前正在运行的 SentinelOne Agent 相关服务和进程,以解除文件占用。这是其防篡改机制暂时失效的时刻。 - 精准的时间窗口攻击(Race Condition)
抓住这个极其短暂的窗口期——在旧 Agent 服务已被停止,但新 Agent 服务尚未完全安装并启动之前——攻击者会立即强制终止正在执行安装操作的 Windows Installer 服务进程(通常体现为 msiexec.exe运行相关 MSI 包)。 - 后果:EDR 防护真空
由于旧 Agent 已停,新 Agent 的安装进程又被中断,导致 SentinelOne 的 EDR 防护在设备上被完全禁用。端点失去了检测和响应威胁的能力,门户大开。
现实危害:Babuk 勒索软件攻击的“助推器”
在 Stroz Friedberg 调查的真实案例中,攻击者正是利用 BYOI 技术作为关键的横向移动后、恶意载荷执行前的步骤。在通过早期漏洞获得管理员权限后,他们使用 BYOI 成功瘫痪了 SentinelOne 的防护。随后,攻击者得以毫无阻碍地部署和执行 Babuk 勒索软件,加密受害者数据,造成了严重的业务中断和经济损失。这种攻击模式凸显了 EDR 被禁用后的直接且灾难性的后果,同时也极大地阻碍了事后的事件响应和调查取证工作,因为关键的端点活动日志可能已无法被 EDR 记录。
检测线索与适用性:
研究人员在调查中观察到一个现象:当 BYOI 攻击成功执行,即安装程序被终止后不久,受害主机在 SentinelOne 的管理控制台中会显示为“离线”状态。虽然这并非一个可靠的实时告警信号(可能因网络延迟等多种原因导致离线),但它可以作为事后调查或威胁狩猎中的一个重要关联指标。值得警惕的是,进一步测试表明,该 BYOI 技术对多个 SentinelOne Agent 版本均有效,并非特定版本的漏洞,这意味着广泛的部署都可能面临风险。
关键缓解措施:刻不容缓的配置检查!
幸运的是,针对此 BYOI 技术存在明确的缓解措施。SentinelOne 已于 2025 年 1 月就此问题向其客户发出了私下通报和安全建议。最核心的防御手段是:
- 务必检查并启用“在线授权”(Online Authorization) 设置!
-
该设置位于 SentinelOne 的“策略”(Policy)配置中。 - 极其重要的一点是:此设置默认状态为“关闭”(Off)!
- 功能
启用后,任何在端点本地发起的 Agent 升级、降级或卸载尝试,都必须首先获得来自 SentinelOne 云端管理控制台的显式批准才能继续执行。 - 效果
这彻底阻断了攻击者在本地利用合法安装程序(无论新旧版本)来触发服务停止窗口并终止进程的攻击路径。 - 策略继承检查
管理员在启用此设置时,请务必检查相关的策略继承关系,确保该安全设置已正确应用到所有需要保护的端点组和策略上。
Aon 的研究人员特别强调,尽管 SentinelOne 已发出通知,但他们在近期的事件响应中仍发现有客户未能及时启用此关键防护设置。因此,再次强烈呼吁所有 SentinelOne 用户立即采取行动进行检查和配置。
行业联动与启示:
本着负责任的态度,Stroz Friedberg 将此发现通报给了 SentinelOne。SentinelOne 不仅通知了客户,还将此绕过技术的细节分享给了其他主要的 EDR 供应商,以促进整个行业的安全水位提升。这种跨厂商的信息共享值得肯定。Palo Alto Networks 已向 Stroz Friedberg 确认其 Cortex XDR 产品不受此特定技术的影响。这也提醒其他 EDR 产品的用户,可以关注自家供应商是否提供了类似针对安装/卸载流程的额外保护机制,并评估启用。
结语与行动呼吁:
“自带安装程序”(BYOI) 绕过技术的曝光,是对现有端点安全防护体系的一次重要警示。它证明了即使是强大的 EDR 解决方案,也可能存在被攻击者利用的逻辑或流程上的“阿喀琉斯之踵”。攻击者正不断将目光投向安全软件自身的设计和行为,寻找“合法”的途径来瓦解防御。
对于所有 SentinelOne 用户,当前最紧迫的任务是:
- 立即登录您的 SentinelOne 管理控制台。
- 检查所有相关策略(Policy)设置。
- 确认“在线授权”(Online Authorization) 功能已被启用(设置为 On)。
- 验证策略已正确应用到所有受管端点。
同时,此事件再次印证了纵深防御的必要性:不应过度依赖单一安全产品,而需结合网络隔离、最小权限账户管理、强身份认证、及时补丁更新以及持续的安全监控与事件响应能力,共同构建更具韧性的安全体系。保持警惕,主动防御,刻不容缓!
原文始发于微信公众号(技术修道场):“自带安装程序”(BYOI):新型 EDR 绕过技术直击 SentinelOne 软肋,已被用于部署 Babuk 勒索软件!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论