Los investigadores de seguridad han identificado un nuevo método de ataque sofisticado que desactiva las protecciones de seguridad en los puntos finales, lo que permite a los actores de amenaza implementar ransomware sin detectar.
La técnica, llamada “Trae su propio instalador”, fue descubierta recientemente por el equipo de respuesta Stroz Friedberg Incide de Aon mientras investigaba un ataque de ransomware Babuk.
Este método aprovecha las vulnerabilidades en el proceso de actualización del agente de Sentinelone para permitir a los atacantes eludir la protección de prevención de las soluciones EDR sin la necesidad de acceso a la consola de gestión o herramientas especializadas.
Mecanismo de ataque
La tecnología por presente explota las vulnerabilidades de tiempo crítico durante el proceso de actualización del agente del césped centinela, observado por Stroz Friedberg de Aon.
Al instalar diferentes versiones del agente Sentinelone, el instalador primero termina todos los procesos de Windows asociados antes de sobrescribir los archivos existentes con la versión más nueva.
Los atacantes están aprovechando las siguientes oportunidades:
Implementación de un archivo de instalador Sentinelone firmado legítimamente (como SentineloneInstaller_windows_64bit_v23_4_4_223.exe o Sentinelinstaller_windows_64bit_v23_4_6_347.msi). Deje que el instalador termine cualquier proceso EDR en ejecución. Puede cerrar con fuerza el proceso de Windows Installer (msiexec.exe) antes de completar la instalación. Deje el sistema en un estado desprotegido sin un proceso Sentinel activo.
A diferencia de otros métodos de derivación EDR que se basan en controladores vulnerables y herramientas de terceros, esta técnica utiliza instaladores de centinelon legítimos para ellos mismos.
La evidencia forense incluye EventID 93 con “CommandType: Descargue”. Contiene el último evento en el registro operativo Sentinelone y el EventId 1042 en el registro de la aplicación que indica “MsiInstaller ha finalizado”.
Cuando EDR Protection está deshabilitado, el atacante despliega el ransomware Babuk, un sofisticado malware criptográfico que se dirige a múltiples plataformas, como Windows y Linux. Babuk apareció a principios de 2020 y opera como modelo de servicio de ransomware (RAAS).
BABUK utiliza el cifrado AES-256 para bloquear archivos en una computadora infectada e intentar rescindir procesos y servicios que podrían obstaculizar el proceso de cifrado. Una vez que se complete el cifrado, verá una nota de rescate con instrucciones de pago.
Procedimiento de mitigación
Sentinelone respondió rápidamente a la divulgación de Stroz Friedberg y emitió orientación a sus clientes en enero de 2025.
Una mitigación clave es permitir la función de “aprobación en línea” en la configuración de política de Sentinelone. Esto requiere la aprobación de la consola de administración antes de que ocurra una actualización local, degradación o desinstalación.
“La característica se desactiva de forma predeterminada. Al final del día, es más importante decir palabras para mitigar este bypass”, advierte Ailes.
Sentinelone comparte este aviso con otros proveedores importantes de EDR. Palo Alto Networks ha confirmado que la solución EDR no se ve afectada por este método de ataque.
Stroz Friedberg aconseja a la organización:
Habilite inmediatamente la configuración de “aprobación en línea”. Monitoree el sistema para cambios inesperados en la versión Sentinelon (EventID 1). Tenga en cuenta múltiples cambios en la versión del producto entre diferentes versiones en un corto período de tiempo. Consulte el registro de eventos para la terminación repentina del servicio de préstamo Sentinel.
Este descubrimiento destaca la evolución continua de la tecnología EDR Bypass y refuerza la necesidad de que las organizaciones configuren adecuadamente las herramientas de seguridad y mantengan la conciencia de las nuevas amenazas dirigidas a las soluciones de protección de punto final.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
