CrowdStrike软件更新,全球850万台Windows设备瘫痪
众所周知,7月19日星期五发生了全球性 Windows 系统崩溃,事故源于 CrowdStrike 终端安全软件 “Falcon Sensor” 推送错误的配置更新,其内核驱动文件 csagent.sys 导致了大量 Windows 系统出现蓝屏、启动循环、应用程序异常和无法上网等影响正常使用的问题。微软 7 月 20 日发布官方博客声称:“虽然软件更新偶尔会造成干扰,但像 CrowdStrike 这样的重大事故并不常见。我们目前估计,CrowdStrike 的更新影响了 850 万台 Windows 设备。”
在德国,至少两家医院取消所有非紧急手术;在美国,许多 911 和非紧急呼叫中心都无法正常工作;英国天空新闻台和澳大利亚广播公司无法直播新闻;Visa 收到消费者无法付款的消息;摩根大通的一些员工在登入时遇到问题,部分客户在存入支票或提款时遇到困难;航班跟踪公司 FlightAware 数据显示,当天全球超过 30,000 个航班延误,3,300 多个航班取消......本次全球性蓝屏宕机堪称史上最严重的 IT 中断故障。它不仅让全球各地不同行业的运作立即陷入了混乱,还对社会个人活动带来了突如其来的影响,甚至会危及生命与健康。安德森经济集团首席执行官初步估算,CrowdStrike 造成的全球经济损失将超过 10 亿美元。
多年来,全球众多网络安全专家都鼓励大型企业和政府机构部署终端检测和响应(EDR)。但万万没想到,连续四次荣膺 Gartner 终端保护平台魔力象限领导者的 CrowdStrike,其公认领先的 EDR 技术引发了规模惊人的全球性 IT 中断故障。
Trellix 提供恢复服务,并持续监察全球威胁形势
全球性 IT 中断故障发生后,网络安全公司 Trellix 立马动员了其支持和专业服务团队,帮助全球大型企业环境和关键基础设施恢复系统。如果您是 Trellix 的用户,就可以使用 Trellix Endpoint Forensics 搜索和验证缺陷文件或恶意文件的位置。Trellix Forensics 通过文件 hash 提供企业搜索功能,并验证 Crowdstrike .sys 文件是否位于正确的“C:\WINDOWS\SYSTEM32\DRIVERS\CROWDSTRIKE\”目录中。同时,Trellix 也为使用 Trellix 加密软件的用户提供恢复受影响系统的步骤,帮助其渡过危机。Trellix 还在网站发文表示,即使您不是 Trellix 的用户,也可以向 Trellix 寻求帮助。Trellix 网站上提供了 Trellix Insights 恶意检测总览,持续监察与本次 IT 中断故障相关的威胁形势。所有指标均通过 Trellix Insights 全天候处理,每个人都可以在 Trellix 网站上获取实时情报和最新动态。
黑客趁机诱骗,Trellix 快速检测并阻止威胁
黑客组织 Handala 瞄准以色列
Trellix 发现黑客组织 Handala 频繁使用 crowdstrike[.]com[.]vc 域名,开展了网络钓鱼活动,利用看似合理的 Crowdstrike 软件安装包向以色列组织投放擦除器恶意软件。Trellix 电子邮件安全 (EX) 设备检测到擦除器,随后为用户阻止了攻击企图。在最近的 Handala 网络钓鱼活动中,Trellix 又观察到以下两个新指标:
Email->PDF->URL->Zip->CrowdStrike.exe-> AutoIt Execution->telegram
PDF:22e9135a650cd674eb330cbb4a7329c3
Zip:d32f89a8a3dd360db3fa9b838163ffa0
CrowdStrike.exe 755c0350038daefb29b888b6f8739e81
您可以使用 Trellix 终端检测和响应 (EDR) 与 Trellix Insights 的直接集成,自动搜索新的和历史指标。目前,这些指标已被 Trellix 终端安全 (ENS)、网络威胁防护 (NX) 和电子邮件安全 (EX) 阻止。
自称是 Crowdstrike 支持服务的钓鱼邮件
Trellix 还发现一个自称提供修复程序的虚假域名电子邮件在分发名为 crowdstrike-hotfix.zip 的恶意 ZIP 档案。该 ZIP 档案包含一个 HijackLoader 有效负载,执行后会加载RemCos。Trellix Insights 显示该文件的流行程度很高。如果您使用了 Trellix 终端安全 (ENS) 解决方案,就能检测到此有效负载,可以通过多种方式免受此特定威胁的侵害。此外,您还可以使用 Trellix Endpoint Forensics 来搜索和验证缺陷文件或恶意文件的位置。
以诉讼为诱饵的新骗局
Trellix 发现新型骗局。虚假域名crowdstrikeclaim[.]com 托管了一个模仿律师事务所 Parker Waichman LLP 的页面,该页面要求用户填写表格,并声称会有团队联系他们,提供 IT 基础设施中断的赔偿。
礼品卡欺诈
CrowdStrike 为本次 IT 中断故障送上礼品卡致歉。此消息传出后,黑客就一直在冒充 CrowdStrike 来制造礼品卡骗局和窃取个人信息。带有关键字“CrowdStrike”和“gift card”的域名已被注册,出现在网上。这再次表明,黑客能够迅速抓住事件,并相应地调整攻击计划。
Trellix 高级研究中心已经发现数百个用于虚假 CrowdStrike 更新支持服务的仿冒链接。Trellix 将以下域名归类为高风险,Trellix 全球威胁情报也同步更新。
CROWDSTRIKE0DAY[.]COM
CROWDSTRIKEBLUESCREEN[.]COM
CROWDSTRIKEBSOD[.]COM
CROWDSTRIKE-BSOD[.]COM
CROWDSTRIKEDOOMSDAY[.]COM
CROWDSTRIKEDOWN[.]SITE
CROWDSTRIKE-HELPDESK[.]COM
CROWDSTRIKE0DAYL[.]COM
CROWDSTRIKEFIX[.]COM
CROWDSTRIKETOKEN[.]COM
CROWDSTRIKEOUTAGE[.]COM
CROWDSTRIKE-HELPDESK[.]COM
FIX-CROWDSTRIKE-APOCALYPSE[.]COM
MICROSOFTCROWDSTRIKE[.]COM
WHATISCROWDSTRIKE[.]COM
SUPPORTFALCONCROWDSTRIKE[.]COM
ACCOUNT-LOGIN-CROWDSTRIKE[.]COM
HOWTOFIXCROWDSTRIKEISSUE[.]COM
MISROSOFTCROWDSTRIKE[.]COM
FIX-CROWDSTRIKEBSOD[.]COM
CROWDSTRIKEODAY1[.]COM
CROWDSTRIKEFAIL[.]COM
CROWDSTRIKE0DAY[.]CO
CROWDSTRIKE[.]FUN
FALCON[.]CLOUD
......
黑客诱骗并不可怕,当您使用了以上提到的所有 Trellix 功能、产品和解决方案,您就可以受到保护,不被本次 IT 中断故障带来的威胁所影响。当然,您也可以选用 Trellix 今年最新推出的 Trellix Helix Connect。它是 Trellix 的 XDR 引擎,集成了来自 Trellix XDR 平台和 490 多个第三方的安全控制,关联所有向量和工具,能在几分钟内检测到威胁,并运用 AI 引导的情报快速做出响应。
Trellix 能确保软件更新的可靠性
本次全球性 IT 中断故障再次提醒所有企业安全运营团队:软件更新维护和测试非常重要,任何一个小小的错误都可能引发大规模的系统瘫痪。许多 Trellix 用户也来询问如何确保软件更新的可靠性。虽然 Trellix 在用户系统占据着一个特权地位,可以访问其内核,但是, Trellix 不会在未经用户批准、用户不知情的情况下进行更改。Trellix 拥有一套完善的程序,为数百万用户提供过安全、稳定且可靠的软件更新。
Trellix 用户可以了解到 Trellix 打包代码的方式。位于内核级别的代码应该尽量减少,以限制发生连锁灾难性系统中断的可能性。Trellix 遵循内核驱动程序的最佳实践,将内容与可执行代码分离,确保所有内核驱动程序都经过 Microsoft 认证和签名。如果因错误文件导致崩溃,Trellix 的程序将独立于操作系统而终止,并远程恢复。
Trellix 用户拥有内核驱动程序更新的选择权。用户可以决定是否、何时以及如何进行内核驱动程序更新。Trellix 不会覆盖用户的更新分发偏好或控制。
Trellix 保护用户免受人为和流程错误的影响。Trellix 遵循严格的流程,在发布代理和安全内容更新之前,验证其质量和稳定性,并采用分阶段推出的措施,以降低发生错误时的影响。Trellix 还听取用户建议,即将在云、本地、隔离和嵌入式环境中提供高质量的版本。
如今,全球各行各业都非常依赖互联网服务。网络安全运营确实是企业正常运作的关键环节之一。事前预防胜于事后补救。Trellix 由 AI 驱动的 XDR 平台可以帮助企业整合安全运营并改善威胁预防、检测、调查和响应。Trellix 有幸在 2024 年 GigaOm Radar 报告中被评为 XDR 领导者和快速推动者。这归功于Trellix XDR 平台和 XDR 引擎 Helix Connect 的优势。GigaOm 认为其良好的 XDR 平台是建立在强大的终端检测和响应(EDR)和终端安全(ENS)解决方案之上。Cyberworld 科明大同是 Trellix 的中国区代理商,欢迎咨询 Trellix 产品和解决方案,我们期待您的联络!
Trellix 官方博客发布了《在CrowdStrike全球技术中断期间的风险管理》,请您访问:
https://www.trellix.com/blogs/perspectives/managing-risk-during-the-crowdstrike-global-tech-outage/