TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

ハッカーがSentinelOneのEDRソリューションを回避する新手法を発見

エンドポイント検知・対応(EDR)ソリューションは多くの組織で標準的なサイバーセキュリティ製品となっていますが、万全ではありません。

5月5日に公開された新しいレポートで、AonのStroz Friedbergインシデント対応サービスの研究者は、最も一般的に利用されているEDRの一つであるSentinelOneのEDRを脅威アクターが回避するために使用し得る新たな手法の発見を共有しました。

「Bring Your Own Installer(自前インストーラー持ち込み)」と呼ばれるこの手法は、SentinelOneエージェントのアップグレード/ダウングレード処理における欠陥を悪用してSentinelOneの改ざん防止機能を回避し、保護されていないエンドポイントを生み出します。

Stroz Friedbergの研究者は、脅威アクターがこの手法を用いてローカル管理者権限を取得し、EDRの保護を回避してBabukランサムウェアの亜種を実行するのを確認しました。

このレポートを受けて、SentinelOneは顧客向けに緩和策の手順を提供しました。

研究者は「公開日時点で、AonのStroz Friedbergは、製品が適切に構成されている場合にこの攻撃の影響を現在受けているEDRベンダー(SentinelOneを含む)を把握していない」と記しています。

EDR回避の指標

他の多くのEDRと同様に、SentinelOneのEDRには、無許可のユーザーが保護措置を無効化するのを制限し、マルウェアが容易にEDRプロセスを終了させることを防ぐ改ざん防止保護が組み込まれています。

この機能では、SentinelOne管理コンソールでの管理者操作、またはSentinelOneの保護からエージェントを解除するための固有コードが必要です。

しかしStroz Friedbergの研究者は、公開アクセス可能なサーバー上で稼働するアプリケーションの脆弱性を悪用し、SentinelOneのEDRが稼働しているホスト端末に対してローカル管理者アクセスを得た脅威アクターを特定しました。

システムのフォレンジック分析中、研究者は次のようなEDR回避の複数の指標を確認しました。

  • 正規の署名付きSentinelOneインストーラーファイルの複数バージョンの作成(このケースではSentinelOneInstaller_windows_64bit_v23_4_4_223.exeおよびSentinelInstaller_windows_64bit_v23_4_6_347.msi)
  • スケジュールタスクの変更、サービスの停止/開始イベント、ローカルファイアウォール設定の変更など、製品バージョン変更に関連する追加のイベントログおよびその他のフォレンジック証拠

EDR脆弱性の概念実証(PoC)エクスプロイト

これらの所見に基づき、Stroz Friedbergの研究者はSentinelOneのEDRソフトウェアにおける潜在的な脆弱性を再現する実験を行いました。

彼らはSentinelOne EDRソフトウェアのバージョン23.4.6.223をインストールしたWindows Server 2022の仮想マシンを使用しました。実験では、MSI形式のWindowsインストーラーファイルを用いてSentinelOneエージェントのアップグレード/ダウングレードを開始しました。

アップグレード/ダウングレード処理では、更新版の新しいプロセスを生成する約55秒前に、既存のSentinelOneプロセスがすべて終了されました。これにより、システム上でSentinelOneプロセスが一切動作していない一時的な時間帯が生じました。

研究者はこの時間帯を悪用し、ローカル管理者権限でtaskkillコマンドを使用して、アップグレード/ダウングレードに関連するmsiexec.exeプロセスを終了させました。

その結果、システムはSentinelOneの保護がない状態となり、ホストはその後SentinelOne管理コンソール上でオフラインになりました。

上:想定されるSentinelOneエージェントのバージョン変更プロセスの抽象図。下:Bring Your Own InstallerによるEDR回避の抽象図。出典:Aon
上:想定されるSentinelOneエージェントのバージョン変更プロセスの抽象図。下:Bring Your Own InstallerによるEDR回避の抽象図。出典:Aon

SentinelOneの緩和策

Aonの研究者は調査結果をSentinelOneに報告しました。EDRメーカーは迅速に対応し、顧客に対して問題を緩和するためのガイダンスを発行しました。これには次が含まれます。

  • SentinelOneのローカルエージェント・パスフレーズ(既定で有効)を使用して、無許可のエージェントアンインストールを防止し、無許可のエージェントアップグレードから保護する
  • アップグレードがSentinelOneコンソールを通じて認証されることを保証する「Local Upgrade Authorization」機能

Aonレポートの公開以降、SentinelOneはこの脅威を緩和するためにソフトウェアベンダーが講じた追加の手順を示す投稿を公開しています。

例えば同社は現在、すべての新規顧客に対してLocal Update Authorization機能を既定で有効化し、追加のセキュリティ層を提供しています。

SentinelOneは、Stroz Friedbergがこの攻撃を公表する前に他のEDRベンダーが製品を評価できるよう、この攻撃パターンの非公開での情報開示において研究者を支援しました。

連絡を受けたベンダーの一部は、この攻撃パターンの開示に対して応答しませんでした。 

翻訳元: https://www.infosecurity-magazine.com/news/new-technique-bypass-sentinelone/

ソース: infosecurity-magazine.com
#Bring Your Own Installer #EDR回避 #msiexec.exe悪用 #SentinelOne #Windows Server 2022 #アップグレード/ダウングレード脆弱性 #アンチタンパー #インシデントレスポンス(Aon Stroz Friedberg) #ランサムウェア(Babuk) #緩和策(Local Upgrade Authorization)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新