"Bring Your Own Installer" EDR Bypass Tekniği Nedir?
Bu teknik nasıl çalışıyor?
SentinelOne’ın zayıf noktası nedir?
Yan etkileri nelerdir?
Nasıl önlem alabiliriz?
Bu teknik nasıl çalışıyor?
"Bring Your Own Installer" EDR bypass tekniği, SentinelOne‘ın tahrif koruma özelliğini atlatmak amacıyla kullanılıyor. Bu nokta, saldırganların endpoint detection and response (EDR) ajanlarını devre dışı bırakmalarına ve bu süreçte Babuk fidye yazılımını kurmalarına olanak tanıyor. Teknik, ajan güncelleme sürecindeki boşluktan yararlanarak çalışır. Saldırganlar, SentinelOne kurulumu yaparak mevcut çalışan EDR ajanlarını sonlandırır ve böylece cihazları korumasız bırakır.
Bu durum, saldırganların, EDR ajanlarının güncellemelerini gerçekleştirirken programın çalıştığı sırada yakaladığı küçük bir fırsat penceresinden faydalanmasından kaynaklanıyor. SentinelOne yönetim konsolu üzerinden manuel işlem gerekiyorken, saldırganlar bu süreçte sistem dosyalarını güncellemeden önce çalışan Windows işlemlerini sonlandırarak saldırıyı gerçekleştiriyorlar.
SentinelOne’ın zayıf noktası nedir?
SentinelOne, EDR ajanını korumak için bir anti-tahrif koruma özelliği kullanıyor. Bu özellik, bir ajanı kaldırmak için ya yönetim konsolunda manuel işlem gerektiriyor ya da benzersiz bir kod talep ediyor. Ancak, yazılım kurulumları sırasında, yeni bir ajan versiyonu yükleneceği zaman, SentinelOne‘ın kurulum aracı mevcut Windows işlemlerini sonlandırıyor. Saldırganlar, bu faaliyeti kullanarak, msiexec.exe işlemini sonlandırıp, yeni ajan kurulumunu gerçekleştirmeden önce sistemin koruma özelliklerini devre dışı bırakmayı başarıyor.
Bunun sonucunda, sistemin tam korumasız kalması mümkün hale geliyor. Stroz Friedberg araştırmacıları, bu teknikle ilgili bir müşteri üzerinde yaptıkları inceleme sırasında, saldırganların ağda yönetici erişimi elde ettiğini ve ardından bu saldırı yöntemini kullandıklarını belirtiyor.
Yan etkileri nelerdir?
Saldırganlar, yeni veya eski ajan versiyonlarını kullanarak bu saldırıyı gerçekleştirme imkanına sahip olduklarından, güncel sürüm bile kurulu olsa cihazlar hala savunmasız kalıyor. Stroz Friedberg tarafından yapılan inceleme, saldırının birden fazla SentinelOne sürümü üzerinde etkili olduğunu ve belirli versiyonlara bağımlı olmadığını ortaya koydu. Bu durum, EDR yazılımlarının güncellenmemesinin ve koruma önlemlerinin dikkate alınmamasının tehlikelerini gözler önüne seriyor.
Aynı zamanda, bu tahrifat sonrasında, SentinelOne yönetim konsolunda cihazın çevrimdışı olduğu gözlemlendi. Bu durum, saldırının ne kadar etkili olduğuna dair önemli bir gösterge sunuyor. BleepingComputer ile yapılan bir görüşmede John Ailes, saldırıya maruz kalan sistemlerde, tüm bu zayıflıkların nasıl istismar edildiğini ayrıntılarıyla açıklıyor.
Nasıl önlem alabiliriz?
SentinelOne, bu tür saldırılara karşı alınacak önlemler arasında "Online Authorization" ayarını etkinleştirmeyi öneriyor. O haliyle bu seçenek varsayılan olarak kapalı durumda. Bu özelliğin etkinleştirilmesi, yerel güncellemelerin, eski sürümlere dönmenin veya ajanların kaldırılmasının SentinelOne yönetim konsolu üzerinden onay gerektirmesini sağlıyor. Ayrıca, SentinelOne tarafından Stroz Friedberg ile paylaşılan teknik bilgi notu, diğer büyük EDR yazılım sağlayıcılarına da ulaştırıldı.
Ek olarak, Palo Alto Networks, bu saldırının kendilerine ait EDR yazılımını etkilemediğini belirtti. Bu tür olaylardan etkilenmemek için kullanıcıların güncel yazılımları takip etmeleri ve güvenlik önlemlerini sıkı bir şekilde uygulamaları son derece önemlidir.
Sonuç olarak, sürekli güncellenen ve gelişen siber tehditlere karşı bilgi sahibi olmak ve gerekli tedbirleri almak, kullanıcıların sistemlerinin güvenliğini sağlamak adına kritik bir öneme sahiptir. Bu bağlamda, SentinelOne gibi EDR çözümlerinin kullanımı ve bu çözümlerin tüm özelliklerinin etkinleştirilmesi önerilmektedir. Tek bir zayıflığın, siber saldırganlar için büyük fırsatlar sunduğu unutulmamalıdır.
