Contournements EDR : analyse de SentinelOne

Magazine
Marque
MISC
HS n°
Numéro
31
Mois de parution
février 2025
Spécialité(s)


Résumé

Les EDR sont une étape cruciale à gérer lors d’une intrusion, car ils représentent souvent une barrière majeure. En tant que red teamers, il est donc essentiel d’innover constamment pour les contourner. Dans cet article, nous explorons un nouvel angle d’attaque en ciblant directement l’EDR, ici SentinelOne, et en exploitant ses défauts d’implémentation.


Les EDR sont aujourd'hui largement déployés dans les entreprises, et constituent un obstacle non négligeable lors des intrusions. Parmi ceux que nous rencontrons le plus souvent figurent : MDE (Microsoft), CrowdStrike, Cortex (Palo Alto Networks) et SentinelOne.

Diverses méthodes de contournement existent, plus ou moins fonctionnelles, telles que l'API unhooking [1], le BYOD (Bring Your Own Driver) [2] ou encore le silencing [3], et les attaquants redoublent toujours d'imagination pour en découvrir de nouvelles.

Dans cet article, nous explorons un nouvel angle d'attaque en étudiant les mécanismes de stockage de configuration des agents EDR, ainsi que leur processus d'authentification auprès de la console. Pour cela, nous analyserons l'agent SentinelOne, dont l'implémentation constitue un excellent cas d'étude. Ces éléments ont été progressivement remontés à l'éditeur depuis mars 2024, mais n…

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous