Kỹ Thuật BYOI Mới: Tấn Công Bypassing SentinelOne EDR để Triển Khai Babuk Ransomware

07/05/2025
3 mins read
Nội dung
Phương Pháp BYOI Mới: Cách Tấn Công Bypassing SentinelOne EDR để Triển Khai Babuk Ransomware
Phát Hiện Chính Về Kỹ Thuật BYOI
Hệ Quả Thực Tiễn Và Khuyến Nghị Bảo Mật
1. Cấu Hình Bảo Mật
2. Phát Hiện Và Phản Hồi Đe Dọa
3. Thực Hành Bảo Mật Tốt Nhất
Tác Động Tiềm Ẩn
Chỉ Số Đe Dọa (Indicators of Compromise – IOCs)
Hướng Dẫn Cấu Hình Bảo Mật
Kết Luận

Phương Pháp BYOI Mới: Cách Tấn Công Bypassing SentinelOne EDR để Triển Khai Babuk Ransomware

Một kỹ thuật tấn công mới mang tên “Bring Your Own Installer” (BYOI) vừa được phát hiện, cho phép các đối tượng đe dọa (threat actors) vượt qua hệ thống Endpoint Detection and Response (EDR) của SentinelOne để triển khai ransomware Babuk mà không bị phát hiện. Bài viết này sẽ trình bày chi tiết về kỹ thuật BYOI, các đặc điểm kỹ thuật liên quan, cũng như các khuyến nghị để bảo vệ hệ thống trước mối đe dọa này.

Phát Hiện Chính Về Kỹ Thuật BYOI

  • Kỹ Thuật “Bring Your Own Installer” (BYOI): Các đối tượng đe dọa sử dụng một trình cài đặt hợp pháp của SentinelOne để khai thác lỗ hổng trong quy trình nâng cấp cục bộ (local upgrade process) của EDR agent. Phương pháp này cho phép vô hiệu hóa tính năng bảo vệ chống can thiệp (anti-tamper protection) bằng cách thực thi trình cài đặt hợp pháp và sau đó buộc dừng quá trình cài đặt khi hệ thống tắt máy.
  • Lỗ Hổng Trong EDR Agent: Lỗ hổng này không phụ thuộc vào phiên bản cụ thể của SentinelOne agent và đã được chứng minh là có thể khai thác trên nhiều phiên bản khác nhau. Vấn đề nằm ở việc thiếu xác thực nâng cấp/hạ cấp cục bộ (local upgrade/downgrade authorization). Nếu tính năng xác thực trực tuyến không được bật, hệ thống bảo vệ có thể bị vượt qua mà không cần sử dụng driver độc hại.
  • Phân Tích Sự Cố: Nhóm phản hồi sự cố Stroz Friedberg của Aon đã phát hiện kỹ thuật này trong một vụ tấn công, nơi đối tượng đe dọa giành được quyền truy cập quản trị cục bộ và bypass EDR mà không cần mã chống can thiệp. Bằng chứng forensic cho thấy có sự thay đổi phiên bản nhanh chóng, sử dụng tệp cài đặt hợp pháp và các mục nhật ký sự kiện liên quan đến việc can thiệp EDR.

Hệ Quả Thực Tiễn Và Khuyến Nghị Bảo Mật

Kỹ thuật BYOI không chỉ làm gia tăng nguy cơ nhiễm ransomware như Babuk mà còn làm nổi bật những lỗ hổng trong cấu hình EDR. Dưới đây là các khuyến nghị thiết thực dành cho tổ chức sử dụng SentinelOne:

1. Cấu Hình Bảo Mật

  • Bật tính năng “Online Authorization” trong cài đặt Sentinel Policy. Điều này yêu cầu sự phê duyệt từ bảng điều khiển quản lý SentinelOne (management console) trước khi thực hiện bất kỳ nâng cấp hoặc gỡ cài đặt nào.
  • Đảm bảo rằng xác thực trực tuyến cho nâng cấp/hạ cấp cục bộ luôn được kích hoạt để ngăn chặn các kỹ thuật bypass tương tự.

2. Phát Hiện Và Phản Hồi Đe Dọa

  • Tăng cường giám sát liên tục và triển khai các cơ chế phát hiện/phản hồi dựa trên AI để nhận diện kịp thời các hành vi bất thường liên quan đến EDR agent.
  • Áp dụng các bản cập nhật và bản vá (patches) ngay lập tức để giải quyết các lỗ hổng tiềm ẩn.

3. Thực Hành Bảo Mật Tốt Nhất

  • Xây dựng chính sách bảo mật nghiêm ngặt, bao gồm kiểm soát chặt chẽ quyền truy cập quản trị (administrative access) và thực hiện kiểm toán định kỳ.
  • Sử dụng giải pháp bảo mật tích hợp như SentinelOne Singularity Platform để có cái nhìn toàn diện và bảo vệ trên nhiều điểm cuối (endpoints), khối lượng công việc đám mây (cloud workloads) và danh tính (identities).

Tác Động Tiềm Ẩn

  • Triển Khai Ransomware: Việc bypass thành công EDR bằng kỹ thuật BYOI tạo điều kiện cho các đối tượng đe dọa triển khai ransomware như Babuk mà không bị phát hiện, làm gia tăng nguy cơ rò rỉ dữ liệu và đòi tiền chuộc.
  • Tư Thế Bảo Mật: Lỗ hổng này nhấn mạnh nhu cầu cải tiến liên tục các biện pháp an ninh mạng, đồng thời cập nhật các giải pháp bảo mật và thực hành tốt nhất để đối phó với các mối đe dọa mới.
  • Xử Lý Sự Cố: Trong trường hợp xảy ra sự cố, tổ chức cần có kế hoạch phản hồi sự cố (incident response plan) mạnh mẽ, bao gồm phân tích forensic nhanh chóng, cách ly kịp thời và giao tiếp hiệu quả để giảm thiểu tác động.

Chỉ Số Đe Dọa (Indicators of Compromise – IOCs)

  • Thay Đổi Phiên Bản Nhanh Chóng (Rapid Version Changes): Các đối tượng tấn công có thể thay đổi phiên bản của EDR agent liên tục để tránh bị phát hiện.
  • Sử Dụng Tệp Cài Đặt (Installer File Use): Sử dụng các tệp cài đặt hợp pháp để bypass cơ chế bảo vệ chống can thiệp.
  • Nhật Ký Sự Kiện (Event Log Entries): Các mục nhập trong nhật ký sự kiện cho thấy dấu hiệu can thiệp vào EDR, có thể được sử dụng làm chỉ số phát hiện.

Hướng Dẫn Cấu Hình Bảo Mật

Để giảm thiểu nguy cơ bị tấn công bằng kỹ thuật BYOI, hãy thực hiện các bước sau:

  1. Truy cập vào cài đặt Sentinel Policy trong bảng điều khiển quản lý SentinelOne.
  2. Kích hoạt tính năng “Online Authorization” để yêu cầu phê duyệt từ management console trước khi thực hiện bất kỳ nâng cấp hoặc gỡ cài đặt nào.
  3. Giám sát trạng thái EDR agent và nhật ký sự kiện định kỳ để phát hiện sớm các dấu hiệu bất thường.

Kết Luận

Kỹ thuật BYOI là một lời cảnh báo về sự sáng tạo không ngừng của các đối tượng đe dọa trong việc vượt qua các giải pháp bảo mật tiên tiến như SentinelOne EDR. Để bảo vệ tổ chức, việc áp dụng các biện pháp cấu hình đúng đắn, giám sát liên tục và thực hành an ninh mạng tốt nhất là vô cùng cần thiết. Bằng cách kích hoạt các tùy chọn bảo mật như “Online Authorization” và duy trì cập nhật hệ thống, bạn có thể giảm thiểu nguy cơ từ các kỹ thuật evasion tương tự và xây dựng một thế trận phòng thủ mạnh mẽ hơn.