แฮกเกอร์ Bypass SentinelOne EDR เพื่อติดตั้ง Babuk Ransomware

Last updated: 8 May 2025

271 Views

สรุปข้อมูล

พบเทคนิคการหลีกเลี่ยงการตรวจจับของระบบ SentinelOne Endpoint Detection and Response (EDR) โดยแฮกเกอร์ใช้วิธีการ Bring Your Own Installer (BYOI) ร่วมกับการใช้ประโยชน์จากช่องโหว่ของช่วงเวลาในการ Upgrade หรือ Downgrade Agent ของ SentinelOne เพื่อติดตั้งมัลแวร์ Babuk Ransomware ซึ่งเป็น Ransomware-as-a-Service (RaaS) ที่สามารถ Encrypt ข้อมูลและโจมตีได้ทั้งระบบปฏิบัติการ Windows และ Linux ก่อนดำเนินการเรียกค่าไถ่จากเหยื่อต่อไป

รายละเอียดการโจมตี

เริ่มแรกแฮกเกอร์จะทำการเข้าถึง Server โดยการอาศัยช่องโหว่ของแอปพลิเคชันที่ทำงานอยู่บน Server นั้นเพื่อเข้าถึงระบบและได้สิทธิ์เป็น Local Administrator หลังจากเข้าถึงสำเร็จ แฮกเกอร์จะใช้ช่องโหว่ของช่วงเวลาในช่วงที่ SentinelOne Agent ทำการ Upgrade เป็นเวอร์ชันใหม่ ซึ่ง Installer จะหยุดการทำงานของ Process ที่เกี่ยวข้องกับ SentinelOne ทั้งหมด จากนั้นจะทำการ Overwrite ไฟล์ของเวอร์ชันเดิมด้วยเวอร์ชันใหม่ โดยแฮกเกอร์ดำเนินการดังนี้:

แฮกเกอร์จะติดตั้งไฟล์ [.]exe หรือ [.]msi ซึ่งเป็น Installer ของ SentinelOne ที่ถูกต้อง หลังจากนั้น Installer จะสั่งให้ Agent เดิมหยุดการทำงานก่อนที่จะติดตั้ง Agent ใหม่
ก่อนที่ขั้นตอนติดตั้งจะเสร็จสิ้น แฮกเกอร์สั่ง Kill Process msiexec[.]exe ซึ่งเป็น Installer ของ Windows ทำให้ SentinelOne อยู่ในสถานะหยุดทำงานส่งผลให้ EDR ไม่สามารถตรวจจับและป้องกันการโจมตีได้
เมื่อระบบไม่มีการป้องกันแล้ว แฮกเกอร์จึงติดตั้ง Babuk Ransomware ที่ Encrypt ข้อมูลโดยใช้ AES-256 Algorithm และพยายามปิด Service ต่าง ๆ ที่อาจส่งผลกระทบในขั้นตอนการ Encryption พร้อมทิ้งข้อความเรียกค่าไถ่ไว้ให้เหยื่อ

รูปที่ 1: กระบวนการ Upgrade Agent ของ SentinelOne ที่ควรจะเป็น

รูปที่ 2: ขั้นตอนของการโจมตีแบบ BYOI

ผลกระทบจากการโจมตี

ผลกระทบจากการโจมตีด้วยเทคนิค BYOI และมัลแวร์ Babuk Ransomware ส่งผลให้ระบบป้องกันความปลอดภัยอย่าง SentinelOne EDR ถูกปิดการทำงานโดยที่เหยื่อไม่ทราบ และทำให้ไม่สามารถตรวจจับหรือป้องกันการโจมตีได้ นอกจากนี้ไฟล์ข้อมูลต่าง ๆ ของเหยื่อถูก Encrypt พร้อมปิดการทำงานของ Service และดำเนินการเรียกค่าไถ่

สรุปการโจมตี

การโจมตีเริ่มต้นจากแฮกเกอร์ใช้เทคนิคที่เรียกว่า Bring Your Own Installer (BYOI) โดยนำไฟล์ Installer ของ SentinelOne ที่ถูกต้องมาใช้หลีกเลี่ยงการตรวจจับ เมื่อเริ่มกระบวนการติดตั้ง Agent ใหม่ ไฟล์ Installer จะทำการหยุดการทำงานของ SentinelOne EDR ชั่วคราว แฮกเกอร์จึงใช้โอกาสนี้ปิด Process การติดตั้ง msiexec[.]exe ส่งผลให้ระบบไม่มี EDR ทำงาน

คำแนะนำ

อัปเดตอุปกรณ์ SentinelOne ให้เป็นเวอร์ชันล่าสุดหรือเวอร์ชันที่ได้รับการแก้ไข
ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ SentinelOne
เปิดใช้งานฟีเจอร์ Online Authorization ใน Policy Setting เพื่อป้องกันการติดตั้ง อัปเกรด หรือถอนการติดตั้ง Agent โดยไม่ได้รับอนุญาต
หมั่นตรวจสอบ Event Log ของ SentinelOne และ Windows เช่น EventID 1042 ใน Application log: "MsiInstaller Exited"
จำกัดการดาวน์โหลดหรือรันไฟล์ Installer จากแหล่งที่ไม่น่าเชื่อถือ
พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี
หลีกเลี่ยงการชำระค่าไถ่ เนื่องจากกลุ่มแฮกเกอร์สามารถทำการโจมตีซ้ำได้