새로운 "Bring Your Own Installer" EDR 우회 기법이 Babuk 랜섬웨어를 설치하기 위해 이용되고 있습니다. 이 기법은 SentinelOne의 방어 기능을 우회하여 위협 요인들이 EDR(Endpoint Detection and Response) 에이전트를 비활성화하도록 합니다. 이 공격은 Aon의 Stroz Friedberg 사고 대응팀인 John Ailes와 Tim Mashni가 올해 초기 랜섬웨어 공격을 받은 고객과의 협업 중에 발견했습니다. 이 기법은 일반적으로 EDR 우회에서 볼 수 있는 제3자 도구나 드라이버에 의존하지 않고, 대신 SentinelOne 설치자 자체를 악용합니다.
SentinelOne은 이 공격을 완화하기 위해 기본적으로 꺼져 있는 "Online Authorization" 설정을 활성화하도록 고객들에게 권장하고 있습니다. "우리는 SentinelOne의 고객들이 Local Upgrade 보호를 활성화하도록 알리는 것이 중요하다고 생각한다"라고 Aon의 Stroz Friedberg DFIR 관리자인 John Ailes는 BleepingComputer에 전했습니다. 또한 "우리는 SentinelOne의 지침이 고객들에게 전달된 이후에도 SentinelOne 환경을 조사했고, 아직도 활성화하지 않은 고객들이 있다는 것을 확인했다. 결국, 이 우회를 완화하기 위해 정보를 전파하는 것이 가장 중요하다."라고 말했습니다.
Stroz Friedberg의 연구자들은 SentinelOne이 EDR 에이전트를 수동 조치나 고유 코드를 필요로 하는 안티-탬퍼 보호 기능으로 보호한다고 설명합니다. 그러나 다른 많은 소프트웨어 설치자들처럼, 에이전트의 다른 버전을 설치할 때, SentinelOne 설치자는 기존 파일이 새 버전으로 덮어쓰여지기 직전에 관련 Windows 프로세스를 종료합니다. 위협 요인들은 이 작은 기회를 이용하여 합법적인 SentinelOne 설치자를 실행한 후, 실행 중인 에이전트의 서비스를 종료하면서 설치 과정을 강제로 종료함으로써 장치를 보호하지 못하게 했습니다.
요약
- 새로운 "Bring Your Own Installer" EDR 우회 기법이 Babuk 랜섬웨어를 설치하기 위해 이용되고 있다.
- 이 기법은 SentinelOne의 방어 기능을 우회하여 위협 요인들이 EDR 에이전트를 비활성화하도록 한다.
- SentinelOne은 이 공격을 완화하기 위해 기본적으로 꺼져 있는 "Online Authorization" 설정을 활성화하도록 고객들에게 권장하고 있다.
- Stroz Friedberg의 연구자들은 SentinelOne이 EDR 에이전트를 수동 조치나 고유 코드를 필요로 하는 안티-탬퍼 보호 기능으로 보호한다고 설명한다.
- 위협 요인들은 이 작은 기회를 이용하여 합법적인 SentinelOne 설치자를 실행한 후, 실행 중인 에이전트의 서비스를 종료하면서 설치 과정을 강제로 종료함으로써 장치를 보호하지 못하게 했다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.