怡安(Aon)研究中描述SentinelOne的本地升级技术防护措施

简介: 怡安(斯特罗兹・弗里德伯格)研究团队发布了一项关于 SentinelOne Windows 代理潜在本地绕过技术的研究。研究人员于 2025 年 1 月通知 SentinelOne,公司随即发布更新并提供防护指南。该技术需攻击者具备本地管理员权限及访问 SentinelOne 签名安装程序的能力。SentinelOne 新增“本地升级授权”功能以阻止未授权升级,并默认为新客户启用。此外,还发布了检测规则和控制台更新,强化防护能力。此研究已共享给其他 EDR 厂商,共同提升安全性。SentinelOne 感谢斯特罗兹・弗里德伯格的合作,确保客户免受此类攻击影响。

怡安(斯特罗兹・弗里德伯格)的一个研究团队本周发表了一项研究,讨论了一种可能影响 SentinelOne Windows 代理的本地绕过技术。这些研究人员在 2025 年 1 月中旬首次联系了 SentinelOne,告知了这一问题。在接到斯特罗兹研究人员的通知后,我们立即发布了一个更新,使防范此类技术变得更加容易,并向我们所有的客户传达了有关新的本地升级授权切换开关的使用指南(注:这是一个仅限 SentinelOne 客户访问的密码保护网站),以及如何使用它来防范此类本地绕过尝试。

正如斯特罗兹自己所报告的,该研究中描述的技术要求攻击者在其试图入侵的机器上拥有本地管理员账户,并能访问 SentinelOne 签名的安装程序。斯特罗兹的研究人员测试了 SentinelOne 的新本地升级功能,并在其博客中提及了该功能的有效性,称:“斯特罗兹・弗里德伯格围绕此功能进行了初步测试,结果显示,一旦启用该选项,便无法执行上述的 EDR 绕过操作。”

SentinelOne 还将 Stroz 的研究分享给了知名的 EDR 厂商,因为该技术可能被用于针对其他端点保护产品的攻击。尽管这种本地访问对这些 EDR 产品的防篡改机制构成类似威胁,但总体而言,Stroz 表示,他们 “不知道有任何 EDR 厂商(包括 SentinelOne)在其产品配置正确的情况下目前会受到此攻击的影响”。

需要注意的是,Stroz 的原始博客文章中并未完全涵盖几个额外要点。另请注意,以下部分已更新,以明确相关信息和重要背景:
我们已通过 “本地升级授权” 功能缓解了未经批准的代理升级,该功能自 2025 年 1 月 19 日起已向客户开放。SentinelOne 客户可在受密码保护的 SentinelOne 文档站点(链接如下)获取有关此功能的信息。启用 “本地升级授权” 后,用户任何本地升级 Windows 代理的尝试都将被阻止。客户还可选择在预定义的时间窗口内启用本地升级。
SentinelOne 还针对其他类型的绕过攻击提供了多种防护措施:
所有代理默认启用防篡改功能,包括抵御恶意驱动程序、防御规避攻击,以及 “自带漏洞驱动程序”(BYOVD)防护。本地卸载默认需要输入代理密码。
**补充说明与背景:

  • 本地升级授权的适用范围**
    :仅适用于 Windows 代理部署。
  • 现有客户的默认配置
    :为确保现有部署和升级工作流(尤其是与 System Center Configuration Manager 等第三方工具)的操作连续性,该本地升级防护配置尚未对现有客户默认启用。
    帮助客户防范该绕过技术的额外措施:
    1.新客户默认配置
    :现对所有新客户默认启用 “本地升级授权” 功能。 2.新增检测规则
    :已发布新的平台检测库规则,用于检测怡安博客中所述技术。该规则名为 “潜在自带安装程序(BYOI)利用”,现已可用,可在 SentinelOne 控制台的 “检测” 页面中从 “库” 选项卡启用。
    3.控制台更新
    :目前正在部署控制台更新,以突出显示 “本地升级授权” 功能。
    4.客户沟通更新
    :已更新客户通知,强化 1 月发送的防护指南。
    5.攻击行为查询示例**
    :以下查询示例可用于排查攻击者在升级过程中尝试绕过代理的潜在证据。
    image.png

SentinelOne 与怡安(斯特罗兹・弗里德伯格)拥有长期战略合作关系,致力于通过快速阻止和修复威胁来保护客户。我们感谢斯特罗兹・弗里德伯格团队的协作,帮助客户防范此类技术攻击。
♚上海甫连信息技术有限公司Docusign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis |HubSpot|

目录
相关文章
|
人工智能 Linux 定位技术
使用 Godot 开发游戏的通用流程
使用 Godot 开发游戏的通用流程
|
6月前
|
人工智能 运维 负载均衡
探秘 AgentRun丨为什么应该把 LangChain 等框架部署到函数计算 AgentRun
阿里云函数计算AgentRun全新发布,打造一站式Agentic AI基础设施。支持LangChain等主流框架无缝迁移,提供Serverless运行时、企业级Sandbox、模型高可用与全链路可观测能力,助力AI Agent高效、安全、低成本落地生产,平均TCO降低60%。
探秘 AgentRun丨为什么应该把 LangChain 等框架部署到函数计算 AgentRun
|
安全 数据安全/隐私保护 Windows
如何在Windows 10系统中查看已连接WiFi密码-亲测可用-优雅草卓伊凡
如何在Windows 10系统中查看已连接WiFi密码-亲测可用-优雅草卓伊凡
1352 16
如何在Windows 10系统中查看已连接WiFi密码-亲测可用-优雅草卓伊凡
|
人工智能 Apache 流计算
FFA 2025 新加坡站全议程上线|The Future of AI is Real-Time
Flink Forward Asia 2025将于7月3日在新加坡举办,主题为“实时智能的未来”。大会聚焦实时AI、实时湖仓与实时分析,展示Apache Flink及社区项目如Paimon、Fluss的最新成果。来自阿里云、AWS、TikTok等企业专家将分享洞见,现场及直播观众均可参与互动抽奖,共襄技术盛宴。
804 14
FFA 2025 新加坡站全议程上线|The Future of AI is Real-Time
|
存储 数据建模 Linux
SentinelOne Deep Visibility 离线数据处理详细说明
SentinelOne Deep Visibility 是一款强大的EDR工具,支持威胁根源分析与详细洞察,保护企业安全。其功能包括直观数据搜索、基于假设的搜寻、Storyline主动响应监视列表、IOC威胁搜寻及竞争力数据保留。即使设备离线,DV仍能保存关键数据:Mac OS本地存50个数据包(1000事件/包或5分钟),Linux默认3分钟且部分参数可配置,Windows可存储多达15000数据包,所有参数均可调整。上海甫连信息技术有限公司提供相关技术支持。
328 0
SentinelOne Deep Visibility 离线数据处理详细说明
|
存储 人工智能 容灾
三大国际解决方案“一键上线”,阿里云飞天企业版为全球客户打造AI时代最开放的云
刚刚,2025阿里云国际峰会「Alibaba Cloud Global Summit 2025」在新加坡成功举办,在阿里云服务新加坡的十周年的程碑时刻,集中展示最新的AI及云产品与服务,助力全球企业拥抱新一轮科技浪潮。 飞天企业版(Apsara Stack)作为阿里云为政企客户构建的资源和云管完全独立的企业级云平台,在本次大会亮相,并首次展示了面向海外市场的三大解决方案:主权云、AI云与云迁移方案。 此次发布标志着阿里云在亚太地区深化技术赋能、推动数字主权建设与人工智能创新的重要战略布局,吸引了全球政企代表、技术专家与行业领袖的关注。
1103 0
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
监控 前端开发 JavaScript
记录浏览器节能机制导致Websocket断连问题
近期,在使用WebSocket(WS)连接时遇到了频繁断连的问题,这种情况在单个用户上每天发生数百次。尽管利用了socket.io的自动重连机制能够在断连后迅速恢复连接,但这并不保证每一次重连都能成功接收WS消息。因此,我们进行了一些的排查和测试工作。
1143 1
记录浏览器节能机制导致Websocket断连问题
|
语音技术 开发者
ChatTTS:专为对话场景设计的文本转语音模型,底模开源!
最近,开源社区杀出一匹文本转语音领域的黑马——ChatTTS,在Github上仅4天斩获11.2k star。
ChatTTS:专为对话场景设计的文本转语音模型,底模开源!
|
人工智能 JSON 文字识别
Eolink——通用文字识别OCR接口示例
Eolink——通用文字识别OCR接口示例
355 0
Eolink——通用文字识别OCR接口示例