駭客濫用合法安裝程式繞過 EDR 防護

近期，保險業者怡安（Aon）旗下的事件回應服務團隊 Stroz Friedberg 發現，駭客利用合法的 EDR（端點偵測與回應）代理程式安裝檔，繞過資安防護機制，成功部署勒索軟體 Babuk。這種手法被稱為「自帶安裝程式」（Bring Your Own Installer, BYOI），是對過往「自帶驅動程式」（Bring Your Own Driver, BYOVD）攻擊方式的變形。

駭客透過執行 EDR 安裝程式，觸發系統更新流程，暫時停用 EDR 服務，進而避開偵測與防竄改機制。研究人員指出，駭客可能利用本機升級、降級過程出現的弱點，繞過 EDR 系統的防護。

目前已知此手法針對 SentinelOne 的代理程式進行攻擊。SentinelOne 已發布緩解指引，建議企業啟用「線上批准」（Online Authorization）機制，審核所有升級或降級操作。

防禦建議與資安最佳實務

為防範此類利用合法工具繞過防護機制的攻擊手法，建議企業採取以下資安措施：

1. 強化 EDR 管理與部署策略

• 啟用線上批准機制，確保代理程式升降級經過授權。
• 嚴格控管安裝程式的執行權限，只允許特定使用者執行，防止濫用。
• 設置 EDR 安裝行為的監控與告警，及早發現異常。

2. 系統安全與應用控制

• 定期安裝系統與應用程式安全更新，修補已知漏洞。
• 實施應用程式白名單機制，只允許經認可的程式執行。
• 搭配防毒軟體、行為分析工具與 XDR 平台，提供多層次偵測能力。

3. 員工教育與資安流程

• 定期進行資安教育訓練，提升對釣魚、社交工程攻擊的警覺。
• 建立完整的資安事件回報與應變流程，確保異常活動即時處理。

參考資源：

• TWCERT/CC 官方網站
• TWCERT/CC 資安建議資料庫
• iThome