新型BYOI技术利用漏洞绕过EDR防护

网络安全公司Aon Stroz Friedberg近日发现一种新型 "自带安装程序 "(BYOI)攻击技术，攻击者通过滥用SentinelOne终端检测与响应(EDR)系统的升级机制漏洞，成功绕过其防篡改保护并部署Babuk勒索软件。研究人员在事件调查中发现，攻击者获取本地管理员权限后，利用未启用本地升级 降级授权的环境缺陷，通过MSI安装程序触发代理更新流程，在升级过程中强制终止Windows安装程序(msiexec.exe)，致使EDR防护失效。实验证实，该技术可在SentinelOne 23.4.6.223版本上实现，全程无需使用恶意驱动程序。