Kritische Sicherheitslücke: SentinelOne Bypass zur Verteilung von Babuk-Ransomware entdeckt
- Datum: 8. Mai 2025
- Schweregrad: Hoch
- Betroffene Systeme: Windows-Endpunkte mit SentinelOne EDR
- Bedrohungstyp: Ransomware (Babuk)
- Angriffsvektor: EDR-Umgehung durch Manipulation der SentinelOne-Agentenüberwachung
Hintergrund
Cybersecurity-Forscher haben eine neue Angriffsmethode identifiziert, bei der Angreifer die Schutzmechanismen der Endpoint Detection & Response (EDR) Lösung SentinelOne gezielt umgehen, um die Babuk-Ransomware auf kompromittierten Systemen zu installieren.
Die Babuk-Ransomware ist bekannt für ihre Fähigkeit, Daten zu verschlüsseln und exfiltrieren, sowie anschließend die Opfer mit Veröffentlichung zu erpressen. In der aktuellen Kampagne wird gezielt versucht, SentinelOne-Agenten zu deaktivieren oder zu manipulieren, ohne eine Alarmierung oder Reaktion auszulösen.
Technischer Überblick
- Angreifer verschaffen sich initial Zugang über bekannte Schwachstellen oder gestohlene Anmeldedaten.
- Anschließend nutzen sie Techniken wie Code Injection, Process Hollowing oder Signed Binary Proxy Execution (Living off the Land), um die SentinelOne-EDR zu umgehen.
- Durch temporäre Deaktivierung oder das Spoofen legitimer Prozesse wird die Babuk-Ransomware erfolgreich eingeschleust und ausgeführt.
- In manchen Fällen wurde beobachtet, dass administrative APIs oder EDR-Whitelists missbraucht wurden.
Empfohlene Maßnahmen
- Monitoring verschärfen: Prüfen Sie Ihre SentinelOne-Konfiguration und setzen Sie erweiterte Überwachungsregeln.
- Sicherstellen von Agent-Integrität: Kontrollieren Sie, ob SentinelOne korrekt und vollständig läuft – insbesondere nach verdächtigen Aktivitäten.
- MFA & Least Privilege: Minimieren Sie administrative Zugriffsrechte und erzwingen Sie Multi-Faktor-Authentifizierung (MFA).
- Threat Hunting aktivieren: Analysieren Sie historische Prozessdaten auf Anomalien im Verhalten oder verdächtige PowerShell- bzw. WMI-Nutzung.
- Backup-Strategie überprüfen: Sicherstellen, dass Backups offline und unabhängig sind, um Ransomware-Auswirkungen zu minimieren.
Indikatoren für Kompromittierung (IoCs) (Auszug)
- Hashes bekannter Babuk-Ransomware-Samples (z. B. SHA256: ...)
- Verdächtige Pfade wie C:\Users\...\AppData\Local\Temp\...\babuk_loader.exe
- Netzwerkverbindungen zu bekannten C2-Infrastrukturen
- Veränderungen an SentinelOne-Diensten (SentinelAgent)
Fazit
Der gezielte Angriff auf SentinelOne zeigt erneut, dass auch moderne EDR-Lösungen nicht unfehlbar sind. Eine mehrschichtige Sicherheitsstrategie, kontinuierliches Monitoring sowie Awareness-Trainings bleiben essenziell, um solche Attacken frühzeitig zu erkennen und zu stoppen. Bitte wenden Sie sich für akute Unterstützung jederzeit an Ihre Ansprechpartner aus unserem Haus oder kontaktieren Sie uns direkt unter hallo@enthus.de – Ihre Sicherheit ist unser Ziel
Schreiben Sie uns
Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema,
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.