تکنیک جدید مهاجمان برای از کارانداختن EDR
در حملهای پیچیده و هدفمند، مهاجمان سایبری با بهرهگیری از تکنیکی جدید به نام Bring Your Own Installer – به اختصار BYOI – موفق شدند قابلیت EDR را در نرمافزار امنیتی SentinelOne بیاثر و باجافزار Babuk را در سیستم قربانی اجرا کنند.
این تکنیک، مشابه روش مشهور Bring Your Own Vulnerable Driver – به اختصار BYOVD است، اما بهجای سوءاستفاده از درایورهای آسیبپذیر، مهاجم از نصبکنندههای معتبر نرمافزارهای امنیتی (در اینجا SentinelOne) استفاده میکند.
بر اساس گزارشی که شرکت امنیتی استروز فریدبرگ (Stroz Friedberg) آن را منتشر کرده، در جریان این حمله، مهاجمان با اجرای نصبکننده و متوقف کردن آن در زمان مناسب، باعث شدند تا ماژولهای دفاعی مانند Tamper Protection فعال نشده و سیستم بدون محافظ باقی میماند. به عبارت دیگر، در این حمله، فرآیند نصب SentinelOne بهطور ناقص انجام میشود، ماژول امنیتی غیرفعال میماند و باجافزار Babuk بدون شناسایی توسط EDR اجرا میشود.
برای مقابله با این تهدید، توصیه شده ویژگی Online Authorization در تنظیمات SentinelOne فعال شود.
مشروح گزارش استروز فریدبرگ در لینک زیر قابلمطالعه است:
https://www.aon.com/en/insights/cyber-labs/bring-your-own-installer-bypassing-sentinelone
