Les EDR sont une étape cruciale à gérer lors d’une intrusion, car ils représentent souvent une barrière majeure. En tant que red teamers, il est donc essentiel d’innover constamment pour les contourner. Dans cet article, nous explorons un nouvel angle d’attaque en ciblant directement l’EDR, ici SentinelOne, et en exploitant ses défauts d’implémentation.
Les EDR sont aujourd'hui largement déployés dans les entreprises, et constituent un obstacle non négligeable lors des intrusions. Parmi ceux que nous rencontrons le plus souvent figurent : MDE (Microsoft), CrowdStrike, Cortex (Palo Alto Networks) et SentinelOne.
Diverses méthodes de contournement existent, plus ou moins fonctionnelles, telles que l'API unhooking [1], le BYOD (Bring Your Own Driver) [2] ou encore le silencing [3], et les attaquants redoublent toujours d'imagination pour en découvrir de nouvelles.
Dans cet article, nous explorons un nouvel angle d'attaque en étudiant les mécanismes de stockage de configuration des agents EDR, ainsi que leur processus d'authentification auprès de la console. Pour cela, nous analyserons l'agent SentinelOne, dont l'implémentation constitue un excellent cas d'étude. Ces éléments ont été progressivement remontés à l'éditeur depuis mars 2024, mais n…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première