怡安(Aon)研究中描述SentinelOne的本地升级技术防护措施

本文涉及的产品
云原生网关 MSE Higress,422元/月
容器镜像服务 ACR,镜像仓库100个 不限时长
注册配置 MSE Nacos/ZooKeeper,182元/月
简介: 怡安(斯特罗兹・弗里德伯格)研究团队发布了一项关于 SentinelOne Windows 代理潜在本地绕过技术的研究。研究人员于 2025 年 1 月通知 SentinelOne,公司随即发布更新并提供防护指南。该技术需攻击者具备本地管理员权限及访问 SentinelOne 签名安装程序的能力。SentinelOne 新增“本地升级授权”功能以阻止未授权升级,并默认为新客户启用。此外,还发布了检测规则和控制台更新,强化防护能力。此研究已共享给其他 EDR 厂商,共同提升安全性。SentinelOne 感谢斯特罗兹・弗里德伯格的合作,确保客户免受此类攻击影响。

怡安(斯特罗兹・弗里德伯格)的一个研究团队本周发表了一项研究,讨论了一种可能影响 SentinelOne Windows 代理的本地绕过技术。这些研究人员在 2025 年 1 月中旬首次联系了 SentinelOne,告知了这一问题。在接到斯特罗兹研究人员的通知后,我们立即发布了一个更新,使防范此类技术变得更加容易,并向我们所有的客户传达了有关新的本地升级授权切换开关的使用指南(注:这是一个仅限 SentinelOne 客户访问的密码保护网站),以及如何使用它来防范此类本地绕过尝试。

正如斯特罗兹自己所报告的,该研究中描述的技术要求攻击者在其试图入侵的机器上拥有本地管理员账户,并能访问 SentinelOne 签名的安装程序。斯特罗兹的研究人员测试了 SentinelOne 的新本地升级功能,并在其博客中提及了该功能的有效性,称:“斯特罗兹・弗里德伯格围绕此功能进行了初步测试,结果显示,一旦启用该选项,便无法执行上述的 EDR 绕过操作。”

SentinelOne 还将 Stroz 的研究分享给了知名的 EDR 厂商,因为该技术可能被用于针对其他端点保护产品的攻击。尽管这种本地访问对这些 EDR 产品的防篡改机制构成类似威胁,但总体而言,Stroz 表示,他们 “不知道有任何 EDR 厂商(包括 SentinelOne)在其产品配置正确的情况下目前会受到此攻击的影响”。

需要注意的是,Stroz 的原始博客文章中并未完全涵盖几个额外要点。另请注意,以下部分已更新,以明确相关信息和重要背景:
我们已通过 “本地升级授权” 功能缓解了未经批准的代理升级,该功能自 2025 年 1 月 19 日起已向客户开放。SentinelOne 客户可在受密码保护的 SentinelOne 文档站点(链接如下)获取有关此功能的信息。启用 “本地升级授权” 后,用户任何本地升级 Windows 代理的尝试都将被阻止。客户还可选择在预定义的时间窗口内启用本地升级。
SentinelOne 还针对其他类型的绕过攻击提供了多种防护措施:
所有代理默认启用防篡改功能,包括抵御恶意驱动程序、防御规避攻击,以及 “自带漏洞驱动程序”(BYOVD)防护。本地卸载默认需要输入代理密码。
**补充说明与背景:

  • 本地升级授权的适用范围**
    :仅适用于 Windows 代理部署。
  • 现有客户的默认配置
    :为确保现有部署和升级工作流(尤其是与 System Center Configuration Manager 等第三方工具)的操作连续性,该本地升级防护配置尚未对现有客户默认启用。
    帮助客户防范该绕过技术的额外措施:
    1.新客户默认配置
    :现对所有新客户默认启用 “本地升级授权” 功能。 2.新增检测规则
    :已发布新的平台检测库规则,用于检测怡安博客中所述技术。该规则名为 “潜在自带安装程序(BYOI)利用”,现已可用,可在 SentinelOne 控制台的 “检测” 页面中从 “库” 选项卡启用。
    3.控制台更新
    :目前正在部署控制台更新,以突出显示 “本地升级授权” 功能。
    4.客户沟通更新
    :已更新客户通知,强化 1 月发送的防护指南。
    5.攻击行为查询示例**
    :以下查询示例可用于排查攻击者在升级过程中尝试绕过代理的潜在证据。
    image.png

SentinelOne 与怡安(斯特罗兹・弗里德伯格)拥有长期战略合作关系,致力于通过快速阻止和修复威胁来保护客户。我们感谢斯特罗兹・弗里德伯格团队的协作,帮助客户防范此类技术攻击。
♚上海甫连信息技术有限公司Docusign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis |HubSpot|

目录
相关文章
|
5月前
|
人工智能 缓存 Serverless
MCP Server 实践之旅第 3 站:MCP 协议亲和性的技术解析
本文将以 MCP Server 在函数计算平台的深度集成为研究载体,解构基于 SSE 长连接通信模型,剖析会话亲和、优雅升级等关键技术,揭示 Serverless 架构在 MCP 场景中的亲和性创新实践。
508 13
|
5月前
|
人工智能 负载均衡 Java
Spring AI Alibaba 发布企业级 MCP 分布式部署方案
本文介绍了Spring AI Alibaba MCP的开发与应用,旨在解决企业级AI Agent在分布式环境下的部署和动态更新问题。通过集成Nacos,Spring AI Alibaba实现了流量负载均衡及节点变更动态感知等功能。开发者可方便地将企业内部业务系统发布为MCP服务或开发自己的AI Agent。文章详细描述了如何通过代理应用接入存量业务系统,以及全新MCP服务的开发流程,并提供了完整的配置示例和源码链接。未来,Spring AI Alibaba计划结合Nacos3的mcp-registry与mcp-router能力,进一步优化Agent开发体验。
1982 15
|
5月前
|
安全 Linux 数据安全/隐私保护
安装RHEL9.x操作系统
本教程详细介绍了在Windows系统上使用VMware Workstation 17.5 Pro安装RHEL 9.x的完整流程。首先准备所需设备和软件,包括Windows计算机、RHEL 9 ISO映像文件、VMware软件及相关下载链接。接着,通过创建虚拟机、配置硬件参数完成VMware的基本设置。随后进入RHEL 9.x安装环节,涵盖语言选择、软件配置、网络和主机名设置、时区调整、磁盘分区规划(如/boot、/、swap、/boot/efi等分区)以及用户和密码的创建。最后,启动安装程序并监控进度,直至系统重启进入图形化登录界面。整个过程配有详细步骤说明和截图,便于用户操作和理解。
安装RHEL9.x操作系统
|
监控 安全 Cloud Native
公司监控电脑效率升级:精细化选择与应用
在竞争激烈的商业环境中,高效的员工表现对企业成功至关重要。为此,选用合适的电脑监控方案变得尤为重要。Libera Networks LAN/WAN Manager 提供云原生监控服务,能快速适应企业变化并集成最新威胁情报,但成本较高。WorkWin 是一款优秀的国产监控软件,提供全方位监控功能与个性化策略配置,加之深入的数据分析及严格的数据安全保障。SentinelOne 则专注于端点安全,能有效防御各种威胁,但配置较复杂。OsMonitor 能准确监测员工活动,提供灵活的监控策略及直观的报表功能。这些工具帮助企业提升工作效率的同时,兼顾了安全与隐私。
330 0
|
5月前
|
XML Java C#
一个 Bean 就这样走完了它的一生之 Bean 的出生
想了解 Spring 中 Bean 的销毁流程么?本文将从 Spring 源码的角度带你一步一步查看 Spring 中的 Bean 销毁时候生命周期的每个方法是如何被调用的。
117 15
|
5月前
|
存储 人工智能 Cloud Native
【发布实录】云原生+AI,助力企业全球化业务创新
本文介绍了阿里云在云原生与AI结合领域的最新产品发布和技术创新。首先,通过弹性智能的一体化架构,阿里云为AI场景提供了开箱即用的云原生能力,助力企业出海。其次,详细解析了云原生如何助力AI应用构建,包括Function AI平台、GPU极速模式、MCP Server开发托管及AI网关等核心功能。
|
12月前
|
SQL 存储 分布式计算
ODPS技术架构深度剖析与实战指南——从零开始掌握阿里巴巴大数据处理平台的核心要义与应用技巧
【10月更文挑战第9天】ODPS是阿里巴巴推出的大数据处理平台,支持海量数据的存储与计算,适用于数据仓库、数据挖掘等场景。其核心组件涵盖数据存储、计算引擎、任务调度、资源管理和用户界面,确保数据处理的稳定、安全与高效。通过创建项目、上传数据、编写SQL或MapReduce程序,用户可轻松完成复杂的数据处理任务。示例展示了如何使用ODPS SQL查询每个用户的最早登录时间。
1335 1
|
10月前
|
存储 安全 API
阿里云先知安全沙龙(上海站) ——红队武器开发之基于合法服务的隐蔽C2
C2(命令与控制)是攻击者远程控制受感染主机的技术。通过合法服务平台(如Slack、Telegram等)的API,攻击者可以隐蔽地传输指令和数据,避免被传统检测机制发现。合法服务具备以下优势: 1. **隐蔽性强**:流量隐藏在正常通信中,难以被检测。 2. **开发成本低**:无需自行开发服务端,减少工作量。 3. **抗封禁能力**:合法域名/IP不易被封禁,威胁情报不会标黑。 4. **团队协作**:天然支持多成员协同作战。 示例包括SaaiwC组织利用Telegram和APT29组织利用Zulip平台进行数据传输和控制。
|
11月前
|
缓存 运维 网络协议
深入Linux内核架构:操作系统的核心奥秘
深入Linux内核架构:操作系统的核心奥秘
485 2
|
10月前
|
分布式计算 DataWorks 监控
DataWorks产品体验评测、
DataWorks产品体验评测、
227 0