Di era digital saat ini, keamanan siber menjadi prioritas utama bagi setiap organisasi. Baru-baru ini, para peneliti keamanan mengungkapkan sebuah metode serangan canggih yang memanfaatkan kelemahan dalam sistem Endpoint Detection and Response (EDR) SentinelOne. Metode ini, yang dikenal sebagai “Bring Your Own Installer” (Bawa Penginstal Anda Sendiri), memungkinkan pelaku ancaman menonaktifkan perlindungan keamanan dan menyebarkan ransomware Babuk tanpa terdeteksi. Temuan ini berasal dari investigasi tim Stroz Friedberg dari Aon, yang menyoroti pentingnya respons cepat dan strategi perlindungan yang kuat. Artikel ini akan menjelaskan cara kerja serangan ini, langkah mitigasi yang disarankan, dan bagaimana organisasi dapat memperkuat pertahanan mereka.
Bagaimana Serangan Ini Bekerja
Serangan ini memanfaatkan celah kecil saat proses pembaruan agen SentinelOne. Menurut pengamatan Stroz Friedberg, ketika agen SentinelOne diperbarui dengan versi baru, penginstal akan menghentikan semua proses Windows yang terkait sebelum mengganti file lama dengan yang baru. Pelaku ancaman memanfaatkan momen ini dengan menggunakan penginstal resmi SentinelOne yang sah, seperti SentinelOneInstaller_windows_64bit_v23_4_4_223.exe. Mereka membiarkan penginstal menghentikan proses keamanan, lalu memaksa menghentikan proses Windows Installer (msiexec.exe) sebelum instalasi selesai. Hasilnya, sistem dibiarkan tanpa perlindungan SentinelOne, membuka jalan bagi penyebaran ransomware.
Berbeda dengan metode bypass lainnya yang membutuhkan driver rentan atau alat pihak ketiga, teknik ini unik karena menggunakan penginstal resmi SentinelOne untuk melawan sistem itu sendiri. Bukti serangan ini dapat dilihat dari log SentinelOne, seperti EventID 93 dengan “CommandType: unload” sebagai peristiwa terakhir, serta EventID 1042 yang menunjukkan penghentian proses instalasi. Setelah EDR dinonaktifkan, ransomware Babuk langsung diaktifkan. Babuk, yang muncul sejak 2020, menggunakan enkripsi AES-256 untuk mengunci file dan menampilkan catatan tebusan dengan instruksi pembayaran. Ransomware ini juga dirancang untuk menghentikan proses yang dapat mengganggu enkripsi, menjadikannya ancaman serius bagi Windows dan Linux.
Respons dan Langkah Mitigasi
SentinelOne menunjukkan respons yang cepat terhadap temuan ini. Setelah dihubungi oleh Stroz Friedberg pada Januari 2025, mereka segera mengeluarkan panduan mitigasi dan memperkenalkan fitur “Otorisasi Online” dalam pengaturan Kebijakan SentinelOne. Fitur ini mensyaratkan persetujuan dari konsol manajemen sebelum ada peningkatan, penurunan versi, atau pencopotan lokal dilakukan, sehingga mencegah penyalahgunaan proses pembaruan. Namun, penting untuk dicatat bahwa fitur ini tidak diaktifkan secara default, yang berarti organisasi perlu mengambil langkah proaktif untuk mengaktifkannya.
Para ahli dari Stroz Friedberg menyarankan beberapa langkah penting:
- Aktifkan “Otorisasi Online” secepat mungkin untuk mengamankan sistem.
- Pantau perubahan versi SentinelOne yang tidak terduga melalui EventID 1 di log.
- Perhatikan perubahan ProductVersion yang cepat antara versi berbeda.
- Periksa log untuk tanda-tanda penghentian mendadak layanan SentinelOne.
Selain itu, SentinelOne telah berbagi temuan ini dengan vendor EDR lain, seperti Palo Alto Networks, yang mengonfirmasi bahwa solusi mereka tidak terpengaruh oleh metode ini. Langkah ini menunjukkan komitmen industri untuk berkolaborasi dan meningkatkan keamanan secara keseluruhan.
Pelajaran Berharga
Temuan ini menggarisbawahi evolusi terus-menerus dari teknik bypass EDR. Pelaku ancaman semakin cerdas dalam memanfaatkan celah dalam proses pembaruan perangkat lunak, menjadikan konfigurasi yang tepat sebagai kunci utama. Organisasi tidak boleh hanya mengandalkan teknologi keamanan, tetapi juga memastikan alat tersebut dikonfigurasi dengan benar dan diperbarui secara rutin. Kesadaran akan ancaman baru, seperti yang diungkap Stroz Friedberg, juga menjadi faktor penting untuk tetap selangkah di depan.
Membangun Pertahanan yang Lebih Kuat
Keamanan siber adalah upaya kolektif yang membutuhkan kerja sama antara penyedia teknologi, peneliti, dan pengguna. Respons cepat SentinelOne terhadap ancaman ini menunjukkan pentingnya inovasi dan transparansi dalam industri. Organisasi disarankan untuk segera menerapkan fitur “Otorisasi Online” dan melatih tim mereka untuk mendeteksi tanda-tanda serangan. Selain itu, memantau log sistem secara rutin dapat membantu mengidentifikasi aktivitas mencurigakan lebih awal.
Untuk organisasi yang ingin memperdalam pemahaman mereka, webinar gratis tentang simulasi serangan kerentanan dapat menjadi sumber informasi berharga. Dengan pendekatan proaktif dan alat yang dikonfigurasi dengan baik, kita dapat melindungi sistem dari ancaman seperti ransomware Babuk dan menjaga data tetap aman.
Akhirnya, saya ingin mengapresiasi kerja keras tim Stroz Friedberg dan SentinelOne dalam mengungkap dan mengatasi ancaman ini. Kolaborasi semacam ini memperkuat ekosistem keamanan siber dan memastikan organisasi dapat beroperasi dengan tenang di dunia digital yang penuh tantangan. Mari kita terus belajar dan beradaptasi untuk menciptakan lingkungan yang lebih aman bagi semua. Diskusikan kebutuhan keamanan Siber Anda dengan tim iLogo Indonesia sebagai Mitra terpercaya yang siap membantu mengintegrasikan SentinelOne kedalam Bisnis Anda. Hubungi Kami sekarang atau Anda dapat mengunjungi https://sentinelone.ilogoindonesia.id
