怡安(斯特罗兹・弗里德伯格)的一个研究团队本周发表了一项研究,讨论了一种可能影响 SentinelOne Windows 代理的本地绕过技术。这些研究人员在 2025 年 1 月中旬首次联系了 SentinelOne,告知了这一问题。在接到斯特罗兹研究人员的通知后,我们立即发布了一个更新,使防范此类技术变得更加容易,并向我们所有的客户传达了有关新的本地升级授权切换开关的使用指南(注:这是一个仅限 SentinelOne 客户访问的密码保护网站),以及如何使用它来防范此类本地绕过尝试。
正如斯特罗兹自己所报告的,该研究中描述的技术要求攻击者在其试图入侵的机器上拥有本地管理员账户,并能访问 SentinelOne 签名的安装程序。斯特罗兹的研究人员测试了 SentinelOne 的新本地升级功能,并在其博客中提及了该功能的有效性,称:“斯特罗兹・弗里德伯格围绕此功能进行了初步测试,结果显示,一旦启用该选项,便无法执行上述的 EDR 绕过操作。”
SentinelOne 还将 Stroz 的研究分享给了知名的 EDR 厂商,因为该技术可能被用于针对其他端点保护产品的攻击。尽管这种本地访问对这些 EDR 产品的防篡改机制构成类似威胁,但总体而言,Stroz 表示,他们 “不知道有任何 EDR 厂商(包括 SentinelOne)在其产品配置正确的情况下目前会受到此攻击的影响”。
需要注意的是,Stroz 的原始博客文章中并未完全涵盖几个额外要点。另请注意,以下部分已更新,以明确相关信息和重要背景:
我们已通过 “本地升级授权” 功能缓解了未经批准的代理升级,该功能自 2025 年 1 月 19 日起已向客户开放。SentinelOne 客户可在受密码保护的 SentinelOne 文档站点(链接如下)获取有关此功能的信息。启用 “本地升级授权” 后,用户任何本地升级 Windows 代理的尝试都将被阻止。客户还可选择在预定义的时间窗口内启用本地升级。
SentinelOne 还针对其他类型的绕过攻击提供了多种防护措施:
所有代理默认启用防篡改功能,包括抵御恶意驱动程序、防御规避攻击,以及 “自带漏洞驱动程序”(BYOVD)防护。本地卸载默认需要输入代理密码。
**补充说明与背景:
- 本地升级授权的适用范围**
:仅适用于 Windows 代理部署。 - 现有客户的默认配置
:为确保现有部署和升级工作流(尤其是与 System Center Configuration Manager 等第三方工具)的操作连续性,该本地升级防护配置尚未对现有客户默认启用。
帮助客户防范该绕过技术的额外措施:
1.新客户默认配置
:现对所有新客户默认启用 “本地升级授权” 功能。 2.新增检测规则
:已发布新的平台检测库规则,用于检测怡安博客中所述技术。该规则名为 “潜在自带安装程序(BYOI)利用”,现已可用,可在 SentinelOne 控制台的 “检测” 页面中从 “库” 选项卡启用。 3.控制台更新
:目前正在部署控制台更新,以突出显示 “本地升级授权” 功能。 4.客户沟通更新
:已更新客户通知,强化 1 月发送的防护指南。 5.攻击行为查询示例**
:以下查询示例可用于排查攻击者在升级过程中尝试绕过代理的潜在证据。
SentinelOne 与怡安(斯特罗兹・弗里德伯格)拥有长期战略合作关系,致力于通过快速阻止和修复威胁来保护客户。我们感谢斯特罗兹・弗里德伯格团队的协作,帮助客户防范此类技术攻击。
♚上海甫连信息技术有限公司Docusign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis |HubSpot|
