Kỹ thuật "Bring Your Own Installer" mới được khai thác trong các cuộc tấn công để vượt qua tính năng bảo vệ của SentinelOne, cho phép kẻ tấn công vô hiệu hóa khả năng phát hiện và phản hồi (EDR) để cài đặt ransomware Babuk.

Bối cảnh

Endpoint Detection and Response (EDR) là lớp phòng thủ thiết yếu trong chiến lược an ninh mạng hiện đại, đặc biệt trong việc phát hiện và phản ứng với mã độc tiên tiến như ransomware. Trong đó, SentinelOne là một trong những giải pháp EDR nổi bật, được thiết kế với nhiều tính năng bảo vệ như chống giả mạo (tamper protection), theo dõi tiến trình theo thời gian thực, và khôi phục sau mã độc. Tuy nhiên, các nhà nghiên cứu từ Stroz Friedberg – đơn vị điều tra thuộc Aon – đã phát hiện một kỹ thuật khai thác mới được sử dụng trong các cuộc tấn công ransomware, cho phép vượt qua cơ chế bảo vệ này mà không cần công cụ bên thứ ba. Kỹ thuật này được đặt tên là “Bring Your Own Installer” (BYOI), nhắm đến điểm yếu trong quy trình nâng cấp agent của SentinelOne.

Kịch bản khai thác

Trong một cuộc điều tra sau sự cố tấn công ransomware thực tế, các chuyên gia của Stroz Friedberg phát hiện rằng tác nhân đe dọa đã giành quyền truy cập quản trị vào hệ thống mục tiêu (thường thông qua khai thác lỗ hổng hoặc đánh cắp thông tin xác thực). Sau đó, chúng tải xuống một trình cài đặt hợp pháp của SentinelOne – không bị phát hiện bởi phần mềm bảo mật – và khởi động quy trình nâng cấp.

Hình 1. Mô tả chuỗi tấn công của kỹ thuật “Bring Your Own Installer”

Trong quy trình cài đặt, trình cài đặt sẽ tạm thời tắt các tiến trình của agent đang hoạt động để thay thế tệp tin bằng phiên bản mới. Tuy nhiên, trước khi việc cài đặt hoàn tất, kẻ tấn công cưỡng bức chấm dứt tiến trình “msiexec.exe” (trình cài đặt Windows). Việc này tạo ra một “khoảng trống bảo vệ” – thời điểm mà agent cũ đã bị dừng, nhưng agent mới chưa được cài đặt hoặc kích hoạt. Trong thời gian ngắn đó, hệ thống không có bất kỳ sự bảo vệ nào từ EDR, cho phép kẻ tấn công dễ dàng triển khai ransomware Babuk hoặc các payload khác.

Phân tích kỹ thuật

Kỹ thuật BYOI EDR bypass này không sử dụng driver độc hại hay exploit kernel như các phương pháp truyền thống, mà hoàn toàn dựa vào trình cài đặt gốc của SentinelOne – đây là điểm khiến nó trở nên tinh vi và khó phát hiện. Điều này cũng giúp kỹ thuật vượt qua hầu hết các biện pháp kiểm soát tập tin hoặc chính sách allowlist thường áp dụng trong các môi trường kiểm soát nghiêm ngặt.

Một đặc điểm then chốt bị khai thác ở đây là quá trình nâng cấp agent – một chức năng thường không yêu cầu xác thực bổ sung nếu được thực hiện nội bộ. Trong nhiều phiên bản của SentinelOne, mặc định tính năng “Online Authorization” – yêu cầu phê duyệt từ bảng điều khiển trung tâm trước khi thực hiện nâng cấp/gỡ bỏ cục bộ – không được bật sẵn. Điều này cho phép kẻ tấn công thực hiện thao tác nguy hiểm chỉ với quyền truy cập quản trị cục bộ.

Ngoài ra, việc thiết bị bị gỡ bỏ khỏi bảng điều khiển sau khi tiến trình msiexec.exe bị chặn cũng là một chỉ báo quan trọng cho thấy agent không còn hoạt động – một điểm có thể tận dụng để xây dựng quy tắc giám sát hoặc phát hiện tấn công.

Theo xác nhận của SentinelOne, tất cả các phiên bản agent đều có thể bị ảnh hưởng nếu không cấu hình đúng. Tuy nhiên, nếu các tính năng như mật khẩu bảo vệ local agent hoặc Local Upgrade Authorization được kích hoạt, kỹ thuật này không thể thực hiện thành công.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công đặc biệt nguy hiểm này:

• Bật tính năng “Online Authorization” hoặc “Local Upgrade Authorization” trong chính sách của SentinelOne để đảm bảo mọi nâng cấp, gỡ bỏ hoặc thay đổi agent phải được phê duyệt từ bảng điều khiển trung tâm. Đây là biện pháp trọng yếu ngăn chặn BYOI.

• Giám sát các tiến trình cài đặt bất thường, đặc biệt là hoạt động của msiexec.exe, kết hợp với các sự kiện liên quan đến việc agent biến mất khỏi bảng điều khiển – đây có thể là dấu hiệu của một cuộc tấn công.

• Áp dụng chính sách bảo vệ bằng mật khẩu cho agent cục bộ để chặn các thao tác trái phép như gỡ bỏ hoặc nâng cấp thủ công.

• Xác minh toàn bộ hệ thống đã cập nhật chính sách mới, đặc biệt là các tổ chức đang triển khai EDR qua hệ thống bên thứ ba như SCCM hoặc RMM, vì cấu hình mặc định có thể chưa bật tính năng bảo vệ nâng cấp cục bộ.

• Tăng cường kiểm tra nhật ký audit và thiết lập các cảnh báo bất thường khi agent SentinelOne bị dừng không lý do hoặc mất kết nối với bảng điều khiển.

• Đánh giá lại chính sách Zero Trust trong môi trường mạng, đảm bảo mọi thao tác cài đặt, kể cả từ phần mềm hợp pháp, đều được kiểm tra định danh và mục đích rõ ràng.

Tham khảo

• New "Bring Your Own Installer" EDR bypass used in ransomware attack