EDRの死角を突く SentinelOneを無効化する新攻撃手法「BYOI」の脅威：セキュリティニュースアラート

AonはSentinelOneのEDR保護を回避する新たな攻撃手法「BYOI」を発見した。攻撃者はアップグレード処理中にプロセスを中断してアンチタンパー保護をバイパスし、Babukランサムウェア亜種を実行するという。

[後藤大地，有限会社オングス]

　リスクコンサルティング企業のAonは2025年5月5日（現地時間）、EDR（Endpoint Detection and Response）製品「SentinelOne」の検知を回避する新たな手法を観測したと発表した。

　この手法は「Bring Your Own Installer」（BYOI）と呼ばれ、EDRエージェントのアップグレード処理中にそのプロセスを意図的に中断させることで、保護を一時的に無効化する状態を作り出すサイバー攻撃とされている。

EDRの死角を突く　SentinelOneを無効化する新手法「BYOI」の脅威

　SentinelOneは、管理者が明示的に操作しない限り、エージェントを停止や削除できないように設計した「アンチタンパー保護」機能を備えており、通常はマルウェアや攻撃者による回避が困難とされている。

　今回の事例では、攻撃者は公開サーバのアプリケーションに存在する脆弱（ぜいじゃく）性を悪用してローカル管理者権限を取得。その後、SentinelOneのアップグレード／ダウングレード機能の不備を突き、アンチタンパー保護をバイパスしてEDRエージェントの無効化に成功し、ランサムウェア「Babuk」の亜種を実行したとされる。

　フォレンジック調査では次のような兆候が確認されている。

• 複数の正規署名済みSentinelOneインストーラー（SentinelOneInstaller_windows_64bit_v23_4_4_223.exe、SentinelInstaller_windows_64bit_v23_4_6_347.msi）の作成
• イベントログSentinelOne%4Operational.evtx上でのバージョン変更（EventID 1）とアンロード操作（EventID 93）
• Application.evtx内でのインストール終了イベント（EventID 1042）
• タスクスケジューラ設定やサービスの停止や再起動、ローカルファイアウォール設定など製品バージョンの変更に関連する追加のイベントログおよびその他のフォレンジック証拠

　この攻撃では攻撃者が異なるバージョンのSentinelOneインストーラーを使ってアップグレード処理を開始した直後、EDRの全プロセスが停止。新バージョンのプロセスが起動する前にmsiexec.exeプロセスをコマンドラインから強制終了することで、エージェントのインストールが未完のまま終了し、EDRの保護が失われた状態となった。

　検証ではこの手法は複数のバージョンで再現でき、特定のバージョン依存ではないことが確認されている。またこの回避手法の成功はSentinelOneのローカルアップグレード／ダウングレードのオンライン認証機能が有効になっていない環境に限定される。

　SentinelOneは同脆弱性に既に対応しており、顧客向けに設定変更による対策手順を提供した他、自社以外のEDRベンダーにも同手法の内容を伝えているという。さらに同社は、ローカルアップグレード／ダウングレードのオンライン認証機能を新規顧客に対してデフォルトで有効化するよう設定を変更し、ローカルパスフレーズ機能について既存顧客への周知、2025年1月に配布したセキュリティガイダンスの再周知を図っている。

　今回の発見はEDR製品の構成における弱点を突くものであり、適切な設定を実施していない場合、重大なセキュリティリスクとなる。EDRを導入している組織はベンダーから提供されている保護設定を改めて確認し、適切な構成を維持することが求められる。