PYTHONWITHMEDEV Telegram 520
tgoop.com » United States » 🧑‍💻Cyber.vision🧑‍💻 » Telegram web » Post 520
🧑‍💻Cyber.vision🧑‍💻
محققان تیم واکنش به حوادث Stroz Friedberg از Aon، یک روش جدید دور زدن EDR با نام رمز Bring Your Own Installerرا کشف کرده‌اند که در حملات باج‌افزار Babuk استفاده می‌شود.

این روش مبتنی بر نقصی در فرآیند به‌روزرسانی عامل است که به مهاجمان اجازه می‌دهد عامل‌های EDR را از کار بیندازند و دستگاه‌ها را بدون محافظت رها کنند.

این حمله در جریان تحقیقات مربوط به حادثه‌ای که اوایل امسال برای یکی از مشتریان SentinelOne رخ داده بود و هدف باج‌افزار قرار گرفته بود، کشف شد.

در پیاده‌سازی روش مشاهده‌شده، برخلاف معمول هنگام دور زدن EDR، از ابزارها یا درایورهای شخص ثالث استفاده نشده است، بلکه از خود نصاب SentinelOne استفاده شده است.

محققان توضیح دادند که SentinelOne از عامل EDR خود با یک ویژگی آشکار در برابر دستکاری محافظت می‌کند که برای حذف عامل نیاز به اقدام دستی در کنسول مدیریت SentinelOne یا یک کد منحصر به فرد دارد.

با این حال، مانند بسیاری از نصب‌کننده‌های نرم‌افزار دیگر، هنگام نصب نسخه متفاوتی از عامل، نصب‌کننده SentinelOne تمام فرآیندهای مرتبط ویندوز را درست قبل از اینکه فایل‌های موجود توسط نسخه جدید رونویسی شوند، خاتمه می‌دهد.

مهاجمان توانستند با اجرای نصب‌کننده‌ی قانونی SentinelOne و سپس قطع اجباری فرآیند نصب پس از خاتمه‌ی سرویس‌های عامل در حال اجرا، از این پنجره‌ی کوچک سوءاستفاده کنند و دستگاه‌ها را بدون محافظت رها کنند.

به عنوان بخشی از تحقیقات در مورد حمله به شبکه مشتری ، Aon گزارش‌ها را تجزیه و تحلیل کرد و دریافت که مهاجمان از طریق یک آسیب‌پذیری به شبکه مشتری دسترسی مدیریتی پیدا کرده‌اند.

سپس مهاجمان با خاتمه دادن به فرآیند SentinelOne Windows Installer ("msiexec.exe") قبل از اینکه بتواند نسخه جدید عامل را نصب و اجرا کند، از این راه حل جدید سوءاستفاده کردند. پس از غیرفعال کردن محافظت، مهاجمان توانستند باج‌افزار را مستقر کنند.

با این حال، مهاجمان می‌توانند از نسخه‌های جدید یا قدیمی عامل برای انجام این حمله استفاده کنند، بنابراین حتی اگر دستگاه‌ها آخرین نسخه را اجرا کنند، هنوز آسیب‌پذیر هستند.

شرکت Aon به طور رسمی SentinelOne را از این حمله مطلع کرد و SentinelOne در ژانویه 2025 به طور خصوصی مراحل کاهش خطر را با مشتریان خود به اشتراک گذاشت.

برای کاهش تأثیر، باید ویژگی «مجوز آنلاین» را در تنظیمات خط‌مشی Sentinel فعال کنید. وقتی این ویژگی فعال باشد، قبل از ارتقاء، تنزل رتبه یا حذف نصب توسط عامل محلی، تأیید کنسول مدیریتی SentinelOne الزامی است.

در عوض، SentinelOne نیز توصیه‌های محققان در مورد فناوری جدید را با سایر فروشندگان اصلی EDR به اشتراک گذاشت.
www.tgoop.com/pythonwithmedev/520
112 views



tgoop.com/pythonwithmedev/520
Create:
Last Update:

محققان تیم واکنش به حوادث Stroz Friedberg از Aon، یک روش جدید دور زدن EDR با نام رمز Bring Your Own Installerرا کشف کرده‌اند که در حملات باج‌افزار Babuk استفاده می‌شود.

این روش مبتنی بر نقصی در فرآیند به‌روزرسانی عامل است که به مهاجمان اجازه می‌دهد عامل‌های EDR را از کار بیندازند و دستگاه‌ها را بدون محافظت رها کنند.

این حمله در جریان تحقیقات مربوط به حادثه‌ای که اوایل امسال برای یکی از مشتریان SentinelOne رخ داده بود و هدف باج‌افزار قرار گرفته بود، کشف شد.

در پیاده‌سازی روش مشاهده‌شده، برخلاف معمول هنگام دور زدن EDR، از ابزارها یا درایورهای شخص ثالث استفاده نشده است، بلکه از خود نصاب SentinelOne استفاده شده است.

محققان توضیح دادند که SentinelOne از عامل EDR خود با یک ویژگی آشکار در برابر دستکاری محافظت می‌کند که برای حذف عامل نیاز به اقدام دستی در کنسول مدیریت SentinelOne یا یک کد منحصر به فرد دارد.

با این حال، مانند بسیاری از نصب‌کننده‌های نرم‌افزار دیگر، هنگام نصب نسخه متفاوتی از عامل، نصب‌کننده SentinelOne تمام فرآیندهای مرتبط ویندوز را درست قبل از اینکه فایل‌های موجود توسط نسخه جدید رونویسی شوند، خاتمه می‌دهد.

مهاجمان توانستند با اجرای نصب‌کننده‌ی قانونی SentinelOne و سپس قطع اجباری فرآیند نصب پس از خاتمه‌ی سرویس‌های عامل در حال اجرا، از این پنجره‌ی کوچک سوءاستفاده کنند و دستگاه‌ها را بدون محافظت رها کنند.

به عنوان بخشی از تحقیقات در مورد حمله به شبکه مشتری ، Aon گزارش‌ها را تجزیه و تحلیل کرد و دریافت که مهاجمان از طریق یک آسیب‌پذیری به شبکه مشتری دسترسی مدیریتی پیدا کرده‌اند.

سپس مهاجمان با خاتمه دادن به فرآیند SentinelOne Windows Installer ("msiexec.exe") قبل از اینکه بتواند نسخه جدید عامل را نصب و اجرا کند، از این راه حل جدید سوءاستفاده کردند. پس از غیرفعال کردن محافظت، مهاجمان توانستند باج‌افزار را مستقر کنند.

با این حال، مهاجمان می‌توانند از نسخه‌های جدید یا قدیمی عامل برای انجام این حمله استفاده کنند، بنابراین حتی اگر دستگاه‌ها آخرین نسخه را اجرا کنند، هنوز آسیب‌پذیر هستند.

شرکت Aon به طور رسمی SentinelOne را از این حمله مطلع کرد و SentinelOne در ژانویه 2025 به طور خصوصی مراحل کاهش خطر را با مشتریان خود به اشتراک گذاشت.

برای کاهش تأثیر، باید ویژگی «مجوز آنلاین» را در تنظیمات خط‌مشی Sentinel فعال کنید. وقتی این ویژگی فعال باشد، قبل از ارتقاء، تنزل رتبه یا حذف نصب توسط عامل محلی، تأیید کنسول مدیریتی SentinelOne الزامی است.

در عوض، SentinelOne نیز توصیه‌های محققان در مورد فناوری جدید را با سایر فروشندگان اصلی EDR به اشتراک گذاشت.

BY 🧑‍💻Cyber.vision🧑‍💻


Share with your friend now:
tgoop.com/pythonwithmedev/520

View MORE
Open in Telegram


Telegram News

Date: |

Informative ZDNET RECOMMENDS Today, we will address Telegram channels and how to use them for maximum benefit. During the meeting with TSE Minister Edson Fachin, Perekopsky also mentioned the TSE channel on the platform as one of the firm's key success stories. Launched as part of the company's commitments to tackle the spread of fake news in Brazil, the verified channel has attracted more than 184,000 members in less than a month. The public channel had more than 109,000 subscribers, Judge Hui said. Ng had the power to remove or amend the messages in the channel, but he “allowed them to exist.”
from us


محققان تیم واکنش به حوادث Stroz Friedberg از Aon، یک روش جدید دور زدن EDR با نام رمز Bring Your Own Installerرا کشف کرده‌اند که در حملات باج‌افزار Babuk استفاده می‌شود.

 🧑‍💻Cyber.vision🧑‍💻 TG
web: 520
🧑‍💻Cyber.vision🧑‍💻.Telegram web
🧑‍💻Cyber.vision🧑‍💻 Telegram TG Channel
Telegram Updated:
Telegram 🧑‍💻Cyber.vision🧑‍💻
FROM American