为了让攻击行动能顺利进行,不被受害企业组织察觉异状,骇客通常会试图左右防毒软体及EDR系统的运作来达到目的,其中一种最常见的手法,是利用存在弱点的旧版驱动程式来进行,
对此,怡安向SentinelOne通报他们的发现,该资安业者迅速做出回应,向用户发布缓解问题的指引。SentinelOne指出,针对本机代理程式升级或降级的作业,管理者可启用通过线上批准(Online Authorization)的机制来进行审核,来防范相关攻击。不过值得留意的是,这项政策并未预设启用,管理者必须手动开启。 针对这起事故发生的过程,怡安指出骇客先是借由应用系统的已知漏洞,从能够公开存取的伺服器得到本机管理权限,然后产生多个SentinelOne安装档案,这些安装程式全数具备合法签章。但究竟骇客如何取得合法的安装程式,研究人员并未说明。 研究人员根据受害电脑的事件记录资料,指出骇客很可能利用本机升级、降级过程出现的弱点,而能绕过EDR系统的防护。后续他们进一步确认,受害组织并未启用线上批准机制,使得骇客能在本机执行安装程式,进行升级或降级的作业。不过,攻击者又是如何入侵其他部署SentinelOne代理程式的电脑,研究人员没有交代。 究竟骇客滥用合法安装程式升级或降级的目的为何?怡安指出,MSI安装档案在执行的过程里,会将原本部署代理程式所有的处理程序停用。 为了确认骇客的手法,他们架设了实验环境进行验证,结果发现在执行MSI档案之后,电脑就会逐步终止原本端点代理程式的处理程序,约在安装程式将元件更新前的55秒,会全部停止。换言之,这让骇客有机可乘,只要此时终止msiexec.exe中断安装流程,就能达到停用EDR代理程式的目的。