Sandbox is a multipurpose HTML5 template with various layouts which will be a great solution for your business.

Contact Info

Moonshine St. 14/05
Light City, London
info@email.com
00 (123) 456 78 90

Learn More

Follow Us

แฮกเกอร์ Bypass SentinelOne EDR เพื่อติดตั้ง Babuk Ransomware

May 07, 2025 Variya Kittiwattanachok

สรุปข้อมูล

พบเทคนิคการหลีกเลี่ยงการตรวจจับของระบบ SentinelOne Endpoint Detection and Response (EDR) โดยแฮกเกอร์ใช้วิธีการ Bring Your Own Installer (BYOI) ร่วมกับการใช้ประโยชน์จากช่องโหว่ของช่วงเวลาในการ Upgrade หรือ Downgrade Agent ของ SentinelOne เพื่อติดตั้งมัลแวร์ Babuk Ransomware ซึ่งเป็น Ransomware-as-a-Service (RaaS) ที่สามารถ Encrypt ข้อมูลและโจมตีได้ทั้งระบบปฏิบัติการ Windows และ Linux ก่อนดำเนินการเรียกค่าไถ่จากเหยื่อต่อไป

รายละเอียดการโจมตี

เริ่มแรกแฮกเกอร์จะทำการเข้าถึง Server โดยการอาศัยช่องโหว่ของแอปพลิเคชันที่ทำงานอยู่บน Server นั้นเพื่อเข้าถึงระบบและได้สิทธิ์เป็น Local Administrator หลังจากเข้าถึงสำเร็จ แฮกเกอร์จะใช้ช่องโหว่ของช่วงเวลาในช่วงที่ SentinelOne Agent ทำการ Upgrade เป็นเวอร์ชันใหม่ ซึ่ง Installer จะหยุดการทำงานของ Process ที่เกี่ยวข้องกับ SentinelOne ทั้งหมด จากนั้นจะทำการ Overwrite ไฟล์ของเวอร์ชันเดิมด้วยเวอร์ชันใหม่ โดยแฮกเกอร์ดำเนินการดังนี้:

  1. แฮกเกอร์จะติดตั้งไฟล์ [.]exe หรือ [.]msi ซึ่งเป็น Installer ของ SentinelOne ที่ถูกต้อง หลังจากนั้น Installer จะสั่งให้ Agent เดิมหยุดการทำงานก่อนที่จะติดตั้ง Agent ใหม่
  2. ก่อนที่ขั้นตอนติดตั้งจะเสร็จสิ้น แฮกเกอร์สั่ง Kill Process “msiexec[.]exe” ซึ่งเป็น Installer ของ Windows ทำให้ SentinelOne อยู่ในสถานะหยุดทำงานส่งผลให้ EDR ไม่สามารถตรวจจับและป้องกันการโจมตีได้
  3. เมื่อระบบไม่มีการป้องกันแล้ว แฮกเกอร์จึงติดตั้ง Babuk Ransomware ที่ Encrypt ข้อมูลโดยใช้ AES-256 Algorithm และพยายามปิด Service ต่าง ๆ ที่อาจส่งผลกระทบในขั้นตอนการ Encryption พร้อมทิ้งข้อความเรียกค่าไถ่ไว้ให้เหยื่อ

A screen shot of a computer Description automatically generated

รูปที่ 1: กระบวนการ Upgrade Agent ของ SentinelOne ที่ควรจะเป็น

A computer screen with text and arrows Description automatically generated

รูปที่ 2: ขั้นตอนของการโจมตีแบบ BYOI

ผลกระทบจากการโจมตี

ผลกระทบจากการโจมตีด้วยเทคนิค BYOI และมัลแวร์ Babuk Ransomware ส่งผลให้ระบบป้องกันความปลอดภัยอย่าง SentinelOne EDR ถูกปิดการทำงานโดยที่เหยื่อไม่ทราบ และทำให้ไม่สามารถตรวจจับหรือป้องกันการโจมตีได้ นอกจากนี้ไฟล์ข้อมูลต่าง ๆ ของเหยื่อถูก Encrypt พร้อมปิดการทำงานของ Service และดำเนินการเรียกค่าไถ่

สรุปการโจมตี

การโจมตีเริ่มต้นจากแฮกเกอร์ใช้เทคนิคที่เรียกว่า Bring Your Own Installer (BYOI) โดยนำไฟล์ Installer ของ SentinelOne ที่ถูกต้องมาใช้หลีกเลี่ยงการตรวจจับ เมื่อเริ่มกระบวนการติดตั้ง Agent ใหม่ ไฟล์ Installer จะทำการหยุดการทำงานของ SentinelOne EDR ชั่วคราว แฮกเกอร์จึงใช้โอกาสนี้ปิด Process การติดตั้ง “msiexec[.]exe” ส่งผลให้ระบบไม่มี EDR ทำงาน

คำแนะนำ

  • อัปเดตอุปกรณ์ SentinelOne ให้เป็นเวอร์ชันล่าสุดหรือเวอร์ชันที่ได้รับการแก้ไข
  • ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ SentinelOne
  • เปิดใช้งานฟีเจอร์ Online Authorization ใน Policy Setting เพื่อป้องกันการติดตั้ง อัปเกรด หรือถอนการติดตั้ง Agent โดยไม่ได้รับอนุญาต
  • หมั่นตรวจสอบ Event Log ของ SentinelOne และ Windows เช่น EventID 1042 ใน Application log: "MsiInstaller Exited"
  • จำกัดการดาวน์โหลดหรือรันไฟล์ Installer จากแหล่งที่ไม่น่าเชื่อถือ
  • พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
  • เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี
  • หลีกเลี่ยงการชำระค่าไถ่ เนื่องจากกลุ่มแฮกเกอร์สามารถทำการโจมตีซ้ำได้

แหล่งอ้างอิง

hxxps://cybersecuritynews[.]com/threat-actor-bypass-sentinelone-edr/

hxxps://www[.]aon[.]com/en/insights/cyber-labs/bring-your-own-installer-bypassing-sentinelone


Tags: Vulnerability Exploitation Bring Your Own Installer SentinelOne EDR Babuk Microsoft Windows

เข้าร่วมเป็นส่วนหนึ่งในสมาชิกของเรา

สมัครสมาชิกเพื่อรับข่าวสารด้าน Cybersecurity ในทุกๆวัน ไม่พลาดอัปเดต และคำแนะนำต่างๆ