Representative offices: 

Request callback

Decryptable PartyTicket Ransomware Reportedly Targeting Ukrainian Entities


On Feb. 23, 2022, destructive attacks were conducted against Ukrainian entities. Industry reporting has claimed the Go-based ransomware dubbed PartyTicket (or HermeticRansom) was identified at several organizations affected by the attack, among other families including a sophisticated wiper CrowdStrike Intelligence tracks as DriveSlayer (HermeticWiper).

Analysis of the PartyTicket ransomware indicates it superficially encrypts files and does not properly initialize the encryption key, making the encrypted file with the associated .encryptedJB extension recoverable.

Technical Analysis

A PartyTicket ransomware sample has a hash SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. It has been observed associated with the file names cdir.exe, cname.exe, connh.exe and intpub.exe.

The ransomware sample — written using Go версії 1.10.1— contains many symbols that reference the U.S. political system, including voteFor403, C:/projects/403forBiden/wHiteHousE and primaryElectionProcess.

The ransomware iterates over all drive letters and recursively enumerates the files in each drive and its subfolders, excluding file paths that contain the strings Windows and Program Files, and the folder path C:\Documents and Settings (the latter folder was replaced in Windows versions later than Windows XP with C:\Users). Files with the following extensions are selected for encryption:

acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip

For each file path that passes the previously described path and extension checks, the ransomware copies an instance of itself to the same directory it was executed from and executes via the command line, passing the file path as an argument. The parent ransomware process names its clones with a random UUID generated by a public library2 that uses the current timestamp and MAC addresses of the infected host’s network adapters.

The malware developer attempted to use Go’s WaitGroup types to implement concurrency; however, due to a likely coding error, the ransomware creates a very large number of threads (one per enumerated file path) and copies its own binary into the current directory as many times as there are selected files. After all encryption threads have ended, the original binary deletes itself via the command line.

When the sample receives a file path as an argument, it encrypts the file using AES in Galois/Counter Mode (GCM). The AES key is generated using the Go rand package’s Intn function to select offsets in the character array 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, generating a 32-byte key. Due to another likely coding error, the seed for the Intn function is updated after the key is generated, meaning the same AES key is generated each time the binary and its clones are run. All of the files encrypted on a host are encrypted with the same key, and knowledge of the corresponding PartyTicket sample’s key enables their decryption. A script using this flaw to recover the encrypted files is available on the CrowdStrike Git Repository.

For each file, the AES encryption key is itself encrypted with RSA-OAEP, using a public RSA key that has the following parameters:

Modulus (N): 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
Exponent (E): 0x10001

Before encryption, the ransomware renames the file using the format <original file name>.[[email protected][.]com].encryptedJB (“JB” very likely stands for the initials of the United States president Joseph Biden, given the other political content in the binary). The ransomware then overwrites the content with the encrypted data. PartyTicket will only encrypt the first 9437184 bytes (9.44 MB) of a file. If the file passed as an argument is larger than this limit, any data above it is left unencrypted. After the file contents are encrypted, PartyTicket appends the RSA-encrypted AES key at the end of the file.

The ransomware also writes an HTML ransom note on the user’s desktop directory with the name read_me.html (Figure 1). Unless they are intentional mistakes, grammar constructs within the note suggest it was likely not written or proofread by a fluent English speaker.

Figure 1. Ransom note


CrowdStrike Intelligence does not attribute the CrowdStrike products activity to a named adversary at the time of writing.

The ransomware contains implementation errors, making its encryption breakable and slow. This flaw suggests that the malware author was either inexperienced writing in Go or invested limited efforts in testing the malware, possibly because the available development time was limited. In particular, PartyTicket is not as advanced as DriveSlayer, which implements low-level NTFS parsing logic. The relative immaturity and political messaging of the ransomware, the deployment timing and the targeting of Ukrainian entities are consistent with its use as an additional payload alongside DriveSlayer activity, rather than as a legitimate ransomware extortion attempt.

YARA Signatures

The following YARA rule can be used to detect PartyTicket:

Script to Decrypt PartyTicket Encrypted Files

Due to the previously discussed implementation errors in the AES key generation, it is possible to recover the AES key used for encryption by PartyTicket. The below Go script decrypts files encrypted by PartyTicket sample 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. The script takes the file to be decrypted as an argument via the “-p” flag and saves the decrypted output to “decrypted.bin” in the same directory. The script can be built as an executable or run via the Go run package; it was tested using Go version go1.16.6.

Learn how to protect your organization from modern cyberattacks by using CrowdStrike products.

iIT Distribution as the official distributor of CrowdStrike solutionsthat enable companies to use advanced technologies to build uninterrupted protection of their IT infrastructures. We work closely with our clients, providing a full range of project support services.


CrowdStrike Falcon protects against new Wiper malware used in cyberattacks against Ukraine


CrowdStrike products is a company that can be proud not only for its high-quality and powerful endpoint protection solutions, but also about its well-developed corporate policy. Since its first day, the company has cooperated only with countries that demonstrate their commitment to European values and non-violent policies. The CrowdStrike team does not divide business and morality. While many IT companies, in light of today's violent events in Ukraine, are only beginning to realize the immorality of the shadow side of the aggressor country, CrowdStrike has never cooperated with such countries as Russia, Iran, China, North Korea, etc. in its existence. We encourage other IT companies to break their partnership with the aggressor country, and we are sincerely glad that more and more of our vendors have already done so.

On February 23, 2022 it was reported about new Wiper malware which attacked Ukrainian systems. After a series of denial-of-service attacks and hacking a number of Ukrainian websites, the new malware breached the master boot record (MBR), as well as all accessible physical disk partitions and the file system on Windows machines.

Intelligence of CrowdStrike products has named this new destructive software — DriveSlayer, and it is the second Wiper-type program to hit Ukraine in terms of recent attacks using the WhisperGate. DriveSlayer is digitally signed using a valid certificate. The software exploits the legitimate EaseUS Partition Master driver to access and control the disk in order to make the system non-functional.

The CrowdStrike Falcon platform can provide reliable and continuous protection against DriveSlayer and wiper-type threats, providing real-time workload monitoring to protect customers.

Test the effectiveness of CrowdStrike products solution in person by sending us a request to test the high-performance platform Falcon.

Technical Analysis

Unlike WhisperGate, which uses higher-level API calls, DriveSlayer uses raw disk access to destroy data.

During initialization, two additional command-line parameters can be used to indicate when the malware is asleep before starting the destruction process and rebooting the system. If they are not specified, the default values are 20 and 35 minutes.

After that, the malware makes sure that it has the appropriate privileges to perform its destructive actions. It uses the API AdjustTokenPrivileges to assign itself the following privileges: SeShutdownPrivilege, SeBackupPrivilege and SeLoadDriverPrivilege.

Privilege Name Description
SeShutdownPrivilege Provides the ability to shut down a local system
SeBackupPrivilege Provides the ability to perform system backup operations
SeLoadDriverPrivilege Provides the ability to load or unload a device driver

A variety of drivers will be loaded depending on the system version. The malware uses IsWow64Process to determine the version of the driver to be loaded. These drivers are located in the resources section of the binary file and are compressed using the Lempel-Ziv algorithm. The driver file is written to system32\drivers with a 4-character, pseudorandomly generated name. This file is then unpacked with LZCopy into a new file with the extension ".sys".

Example File Name Description
C:\Windows\System32\drivers\bpdr Lempel-Ziv compressed driver
C:\Windows\System32\drivers\bpdr.sys Decompressed driver

Before the driver is loaded, the malware disables the emergency dump by setting the following registry key:

Registry Value Description
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Disables crash dump

To load the driver, a new service is created using the API CreateServiceW. The name and display name for this service is the 4-character name used for the file name. Next, StartServiceW is called in a loop five times to ensure the driver is loaded. Immediately after the driver is loaded, the service is removed by deleting the entire registry key.

After the driver is loaded, the VSS service is disabled using the Control Service Manager. Following this, a number of additional threads are created. A thread is created to handle the system reboot. It will sleep for the time specified by a command line parameter of 35 minutes, at which point the system will be restarted by an API call to InitializeSystemShutdownExW.

Another thread disables features in the UI that could alert the user of suspicious activity occurring on the system before iterating through attached drives.

Registry Value Description
0 Disables colors for compressed and encrypted NTFS files
0 Disables pop-up information about folders and desktop items

Finally, the malware begins its destructive routine by spawning multiple additional threads that overwrite the files on disk and destroy the partition tables. Once the system is rebooted, the user will see a blank screen with the words “Missing operating system.”

The Falcon Platform’s Continuous Monitoring and Visibility Stop Destructive Malware

The Falcon platform takes a layered approach to protect workloads. Using on-sensor and cloud-based machine learning, behavior-based detection using indicators of attack (IOAs), and intelligence related to tactics, techniques and procedures (TTPs) employed by threats and threat actors, the Falcon platform enables visibility, threat detection and continuous monitoring for any environment, reducing time to detect and mitigate threats including destructive malware.

As shown in Figure 1, the Falcon platform uses cloud-based machine learning to detect DriveSlayer and prevent the malware from performing additional malicious actions, such as loading additional components.

Figure 1. The Falcon platform’s cloud-based machine learning detects DriveSlayer wiper

The Falcon platform’s behavior-based IOAs can detect and prevent suspicious processes from executing or loading additional components, as well as other behaviors that indicate malicious intent. For example, Falcon detects and prevents DriveSlayer behavior such as tampering with specific registry keys. The behavior-based detection is further layered with a traditional indicator of compromise (IOC)-based hash detection (see Figure 2).

Figure 2. CrowdStrike Falcon detects and prevents DriveSlayer destructive behavior

Because DriveSlayer has no built-in propagation methods for spreading across infrastructures, and because reports of it being used to target Ukraine have so far been limited, the risk of organizations encountering this data-wiping threat may be low at present. CrowdStrike will continue to monitor and report on the situation as it unfolds.

Customers of CrowdStrike Falcon can proactively monitor their environments with hunting queries to identify indicators of DriveSlayer presence. Check the CrowdStrike Support Portal for a brief description.

iIT Distribution as the official distributor of CrowdStrike solutions strongly encourages organizations that are facing the risk of cyber incidents to take steps to improve their operational resilience. CrowdStrike security solutions can protect against malware and the threat of data destruction by providing full visibility of the environment and intelligence monitoring of cloud resources to detect and respond to potential threats - including destructive ones - and limit potential damage.


Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate

Articles and reviews

Вочевидь, усі ми пам’ятаємо, як з 13 по 14 січня 2022 року низка державних органів України зазнала потужної кібератаки, у результаті якої постраждало 70 національних сайтів (10 з них зазнали безпосереднього втручання в бази даних). Як стало відомо незабаром після інциденту, він був викликаний системою вірусів WhisperGate набором шкідливих програм, діяльність яких спрямована на знищення даних на уражених ресурсах.

Якщо ви зволікали з цим раніше, саме час спрямувати свої сили на підбір по-справжньому ефективного рішення для детектування ризиків та захисту ваших систем. Просто зараз перегляньте відео, яке демонструє потужні можливості CrowdStrike Falcon у покроковому виявленні WhisperGate.

CrowdStrike Falcon — хмарне рішення, яке захищає кінцеві точки шляхом об'єднання антивірусу нового покоління, системи EDR (виявлення і реагування на загрози кінцевих точок) і цілодобової керованої служби пошуку загроз.

Falcon базується на штучному інтелекті (AI) і об'єднує технології, інтелект та досвід в одне просте рішення, яке надійно зупиняє будь-які загрози. Платформа за лічені хвилини забезпечує захист у реальному часі, а ефективні алгоритми штучного інтелекту дозволяють побачити результат вже з першого дня використання. Хмарна інфраструктура та архітектура усувають складність у роботі з різними додатками, забезпечують керованість та швидкість рішення.

Відкрийте для себе рішення від CrowdStrike.

Впевніться в тому, що Falcon не залишить зловмисникам жодного шансу на непомітне проникнення в вашу IT-інфраструктуру та знищення ваших даних в нашому відео.

Якщо ви обізнані – ви озброєні, підвищуйте рівень своєї кіберстійкості та знищуйте такі потужні загрози, як WhisperGate разом з CrowdStrike products!



Звіт про глобальні загрози 2022 року від CrowdStrike!


CrowdStrike назвала 2022 роком адаптації й витривалості та підготувала звіт про глобальні кіберзагрози!

Минулий рік видався непростим для воїнів фронту кібербезпеки. В умовах суспільних змін, спричинених пандемією, хакери мали можливість вдосконалити свої навички та зробити свої технології більш адаптованими, просунутими й підступними. Як наслідок, світ сколихнула низка гучних кібератак.

Операція під назвою WhisperGate в січні минулого року була направлена на низку українських організацій та державних структур: шкідливий софт, замаскований під програму-вимагача, був використаний з метою цілковитого знищення даних на уражених ресурсах. Зловмисників не цікавила грошова винагорода, як могло здатися спочатку, їх ціллю була дестабілізація суспільства. Також досить визначною є кібератака Sunburst, під час якої зловмисники скористалися zero-day вразливістю та особливостями архітектури традиційних систем (таких як Microsoft) для розповсюдження шкідливого софту. Не маючи можливості оговтатися, організації витратили колосальні ресурси, аби захисти supply chain і пов’язані з ними системи. В той самий час, суб’єкти eCrime вразили велику кількість галузей економіки в рамках big game hunting ransomware (BGH). Ці інциденти стали переломним моментом галузі кібербезпеки й привернули увагу до колосальної вразливості критичної інфраструктури до шкідливих програм.

Для служб безпеки, де давно існує проблема браку кваліфікованих кадрів, ці виклики виявилися непростими. Але навантаження зросло ще більше наприкінці року, коли вразливість Log4Shell vulnerability загрожувала повним колапсом системи безпеки.

Аналіз тогорічних інцидентів дає змогу побачити мінливу динамічність тактики супротивника, що вкрай важливо для запобігання можливим загрозам. Саме такий контекст надає CrowdStrike 2022 Global Threat Report. Цей звіт розроблений на основі розвідданих від провідних фахівців CrowdStrike Intelligence and Falcon OverWatch. У поєднанні зі свідченнями, отриманими з масштабної телеметрії CrowdStrike Security Cloud, звіт містить вкрай важливі відомості, необхідні службам безпеки для розуміння характеру майбутніх загроз.

Познайомтеся зі звітом і дізнайтеся:

  • Чому фінансовані державою зловмисники націлилися на постачальників ІТ та хмарних послуг, скориставшись довірою до supply chain партнерів.
  • Яким чином терористи використали вразливості для обходу системи виявлення атак та отримання доступу до критичної інфраструктури.
  • Як досвідчені хакери застосовували викрадені облікові дані для посилення BGH, атак програм-вимагачів та проникнення в хмарні середовища.
  • Як злочинці посилили атаки на критичну хмарну інфраструктуру використовуючи нові, більш довершені підходи.

Щорічний звіт також окреслює загальну ситуацію сфери безпеки та вказує, що корпоративні ризики концентруються навколо трьох критичних областей: кінцеві точки та хмарні навантаження, ідентифікація та дані. Кіберзлочинці продовжують використовувати вразливості на кінцевих точках та в хмарних середовищах, а також шукають нові способи обходу застарілих систем захисту з єдиною метою – викрасти ваші дані.
Сьогодні, CrowdStrike products прагне працювати на випередження. Оцініть нові потужні можливості розширеного виявлення та реагування (Falcon XDR), створені для захисту організацій від найтяжчих атак. Це рішення покликане допомогти перевантаженим командам служб безпеки автоматизувати реагування на загрози та скоротити час, необхідний для ідентифікації зони ураження.
2021 рік показав нам, що з якими б труднощами ми не зіткнулися, хакери не відступлять. Атаки стають більш деструктивними, викликаючи масові перебої у всіх сферах суспільного життя. Але це виклик, який ми прийняли, та боротьба, яку ми переможемо разом!


Дізнайтеся як захисти ваш бізнес від сучасних кібератак використовуючи продукти CrowdStrike products.

iIT Distribution – постачальник новітніх рішень та інструментів, що дозволяють корпоративним клієнтам використовувати передові технології в галузі побудови та обслуговування IT-інфраструктури. Ми тісно співпрацюємо з нашими партнерами для задоволення потреб кінцевих замовників і надаємо повний комплекс послуг із супроводу проєктів.


Новітня розробка Falcon XDR від компанії CrowdStrike тепер доступна для користувачів!


Ми раді повідомити про те, що нове потужне рішення CrowdStrike products Falcon XDR відтепер доступне для придбання!

Засноване на передовій технології endpoint detection and response (EDR) та можливостях CrowdStrike Security Cloud, Falcon XDR пропонує користувачам уніфіковану, повноспектральну функцію Extended Detection and Response (XDR – розширене виявлення та реагування) наступного покоління, покликану допомагати командам безпеки зупиняти порушення швидше та ефективніше.

Розв'язуйте ключові проблеми виявлення та реагування за допомогою Falcon XDR

Попри значний прорив у розвитку технологій безпеки за останнє десятиліття, труднощі, з якими стикаються кіберслужби, намагаючись впоратися з дедалі більшим потоком повідомлень про порушення, тільки загострюються. Фактично, понад три чверті (77%) security-спеціалістів згодні з тим, що виявляти і реагувати на загрози стає складніше, ніж будь-коли.

CrowdStrike створила Falcon XDR з нуля, щоб забезпечити команди безпеки справжньою, мультидоменною видимістю та повним контролем, необхідним для боротьби з загрозами та запобігання вторгненням завжди і скрізь.

Falcon XDR розв'язує найсерйозніші проблеми виявлення та реагування на інциденти, забезпечуючи:

  • Видимість, пошук та реагування з нечуваною швидкістю та масштабом. Falcon XDR використовує потужність хмари CrowdStrike Security Cloud, яка щодня корелює трильйони подій безпеки та обробляє безпрецедентні обсяги даних, ґрунтуючись на розвідці загроз та корпоративній телеметрії з кінцевих точок клієнтів, робочих навантажень, даних ідентифікацій, DevOps і конфігурацій. За допомогою цих орієнтованих на розпізнання загроз даних, інтегрованих у Falcon XDR, команди безпеки вже з першого дня отримують реальне бачення загальної картини IT-процесів із цінним контекстом безпеки та інтуїтивно зрозумілим, блискавичним пошуком.
  • Консолідовані, міждоменні виявлення та сповіщення. Коли мова цйдеться про виявлення та реагування, головним обмеженням, на яке посилається майже половина (47%) security-спеціалістів, є роз'єднаний, розрізнений характер даних та їх інструментів безпеки. Falcon XDR розв'язувати цю проблему в комплексі, перетворюючи раніше незрозумілі сигнали від розрізнених систем на високоефективні результати виявлення з наданням глибокого контексту розслідувань. А за допомогою інтерактивного огляду графів на консолі, фахівці зможуть інтуїтивно візуалізувати та відстежувати всю мультидоменну атаку з повним контекстом для кожного кроку в ланцюжку атак.
  • В основі Falcon XDR – провідне рішення EDR. Falcon XDR використовує всі переваги провідного у сфері безпеки набору рішень CrowdStrike для захисту кінцевих точок, включаючи базовий фреймворк, єдиний легкий агент та cloud-native архітектуру, на основі якої це все побудовано. Внаслідок чого команди безпеки уникають впровадження додаткових процесів та агентів, оптимізуючи EDR-інструменти, робочі процеси та впроваджуючи кращі практики у значно більшу кількість доменів свого стеку безпеки. Таким чином, Falcon XDR підвищує операційну ефективність та усуває необхідність використання кількох дашбордів, надаючи доступ до всіх показників телеметрії та заходів реагування в одній центральній консолі.
  • Спрощене моделювання виявлень та високоточні показники просто «з коробки». Сьогодні служби безпеки працюють із заплутаними, складними системами, для роботи з якими потрібні місяці навчання та налаштувань, перш ніж вони почнуть генерувати цінні відомості. Security-фахівці не можуть дозволити собі гаяти час. Озброївшись Falcon XDR, вони з самого початку мають можливість отримувати інтуїтивно зрозумілі, високоточні результати виявлення та багатий контекст подій, що повністю усуває потребу вручну писати, налаштовувати та підтримувати правила виявлення.
  • Спеціально розроблені інтеграції XDR із рішеннями Falcon і не тільки. У доповнення до схеми з відкритими даними, вбудованою в Falcon XDR, компанія CrowdStrike створює широкий спектр можливостей для подальшого розширення сфери застосування Falcon XDR. Це охоплює глибокі, конструктивні інтеграції як з іншими продуктами платформи Falcon (наприклад, Falcon Cloud Security and Falcon Identity Protection), так і з цілою низкою систем безпеки та ІТ-систем від найкращих світових виробників у рамках нещодавно сформованого альянсу CrowdXDR Alliance та за його межами. Крім того, Falcon Fusion, SOAR від CrowdStrike, також вбудований в платформу Falcon. Це дозволяє клієнтам налаштовувати активні повідомлення та заходи для реагування в режимі реального часу, а також створювати тригери на основі виявлення та категоризації інцидентів. Це зможе підвищити ефективність та гнучкість SOC та ІТ, при одночасному дотриманні вимог, що висуваються до конкретних сценаріїв використання.

Розв'язуйте проблеми, пов'язані з XDR, за допомогою спеціалізованого рішення

CrowdStrike лідирує завдяки інноваціям. І хоч компанії напевно було б набагато легше поставитися до XDR як до простого ребрендингу і назвати платформу Falcon "платформою XDR", це поза їхніми правилами. CrowdStrike спочатку виконує важку роботу, а потім дозволяє результатам говорити за себе.

Саме таким підходом компанія керувалася під час розробки свого легкого агента та cloud-native архітектури, які 10 років тому перевернули ринок застарілих антивірусів. Такий самий підхід CrowdStrike застосувала до XDR. Результат: абсолютно нове спеціалізоване рішення Falcon XDR, а також новий CrowdXDR Alliance, створений для втілення в реальність поставлених завдань, пов'язаних із забезпеченням команд безпеки комплексним виявленням та реагуванням у масштабах усієї екосистеми. Щоб переконатися у винятковості нового рішення від CrowdStrike, перегляньте Falcon XDR Demo.

Ознайомитися з прес-релізом Falcon XDR ви можете by the link.

iIT Distribution – офіційний дистриб'ютор рішень від компанії CrowdStrike, який допомагає організаціям забезпечити всебічний захист та підвищити ефективність своїх ІТ-інфраструктур. Ми практикуємо комплексний підхід, при якому клієнт отримує необхідне програмне забезпечення, технічне обладнання, а також послуги з впровадження та просування.


CrowdStrike Services випускає Incident Response Tracker для спеціалістів DFIR (Digital Forensics and Incident Response)


CrowdStrike Services представляє трекер, призначений для допомоги спільноті фахівців з цифрової криміналістики та реагування на інциденти (DFIR – Digital Forensics and Incident Response).

CrowdStrike Incident Response Tracker – це зручна електронна таблиця, що містить вкладки для документування індикаторів компрометації, облікових записів, які були порушені, а також скомпрометованих систем та хронології значущих подій.

• Групи реагування на інциденти CrowdStrike products використовували цей тип трекера в ході тисяч розслідувань.

• Завантажте зразок CrowdStrike Incident Response Tracker просто зараз.

Під час нещодавньої взаємодії CrowdStrike зі своїм клієнтом, у ході проведення тестування за методом TTX (Tabletop Exercise — метод навчання, заснований на моделюванні інциденту) стало очевидним, що замовник не використовує методологію відстеження показників та побудови тимчасової шкали інцидентів. Команда CrowdStrike Services хотіла надати користувачу більше інформації про те, як можна та слід відстежувати інциденти, але у відкритому доступі нічого не було. Щоб усунути цю прогалину, компанія випустила електронну таблицю CrowdStrike Incident Response Tracker, яка складається з декількох вкладок для структурованого та багаторазового запису подій різних класів, пов'язаних з інцидентами.

Команди цифрової криміналістики та реагування на інциденти (DFIR) зазвичай займаються проведенням складних технічних розслідувань, що включають отримання та перегляд образів системи, знімків пам'яті, журналів та інших джерел даних. Це призводить до появи величезної кількості доказів, завдань та технічних висновків у багатьох напрямках розслідування.

Хоча ефективне реагування залежить від багатьох факторів, що гармонічно взаємодіють, точна реєстрація і передача результатів розслідування, мабуть, найбільш важливі. Один зі способів зробити це — використовувати структурований трекер реагування на інциденти під час кожного розслідування, який можна застосовувати у процесі консолідації та передачі відповідної інформації в повторюваному вигляді.

Огляд CrowdStrike IR Tracker

Перевага використання такого інструменту, як CrowdStrike IR Tracker, полягає в тому, що він забезпечує єдиний простір для узагальнення ключової інформації про інцидент, охоплюючи:

• Зведену хронологію інциденту, яка є основою його опису;
• Індикатори інциденту (наприклад, IP-адреси, доменні імена, імена/хеші шкідливих програм, записи в реєстрі тощо);
• Дані про уражені облікові записи та системи, що становлять інтерес;
• Метадані інциденту, такі як ключові контакти, деталі зустрічей, зібрані докази, а також пов'язані з інцидентом запити та завдання.

Зокрема, CrowdStrike IR Tracker складається з наступних вкладок:

  • Investigation Notes: Розділ із даними про застосування інструментів фіксації та відстеження інформації про інцидент: тикети в підтримку, деталі конференц-залу та телемосту тощо.
  • Contact Info: Контактна інформація зовнішніх та внутрішніх співробітників, відповідальних за реагування на інциденти.
  • Timeline: Хронологія дій зловмисника, пов'язаних з подією.
  • Systems: Системи, доступ до яких було отримано або скомпрометовано суб'єктом (суб'єктами) загрози.
  • Accounts: Облікові записи, що зазнали впливу або були скомпрометовані суб'єктом (суб'єктами) загрози.
  • Host Indicators: Імена файлів, шляхи до каталогів, криптографічні хеші, записи реєстру і т.д., що становлять інтерес для розслідування.
  • Network Indicators: Зовнішні IP-адреси, URL-адреси, імена доменів, рядки User-Agent і т.д., які становлять інтерес для розслідування.
  • Request and Task Tracker: Область для відстеження запитів та завдань, пов'язаних з інцидентом.
  • Evidence Tracker: Область для відстеження доказів, зібраних під час розслідування.
  • Forensic Keywords: Ключові слова щодо конкретного інциденту для полегшення криміналістичного аналізу.
  • Investigative Queries: Запити для SIEM, кореляції журналів та слідчих платформ для полегшення аналізу інцидентів.

З оглядом трьох найбільш активно використовуваних і найкращих, на думку команди CrowdStrike, вкладок IR Tracker ви можете ознайомитись here.

Завдяки зведеній та впорядкованій інформації команда CrowdStrike products може зосередитись на наданні допомоги організації у виявленні впливу загроз на бізнес-активи та спільно з юристом встановити будь-які нормативні вимоги до звітності. CrowdStrike IR Tracker також допомагає визначити першопричину атак, щоб ваша компанія могла усунути вразливості, які привели до інциденту.

Щоб спростити розуміння інцидентів, CrowdStrike часто складає діаграми атак або графічні часові шкали у вкладці "Timeline". Компанія створює їх для короткого роз'яснення інцидентів для клієнтів, які зіткнулися з великими витоками даних у сотнях систем або протягом кількох років.

Нарешті, рекомендується використовувати онлайн-технології спільної роботи з електронними таблицями, наприклад, Office 365 or Google Sheets. Ці інструменти забезпечують ефективну взаємодію між різними користувачами для одночасного оновлення онлайн-документа, що зводить до мінімуму ризик виникнення проблем з версією. Дані також оновлюються в режимі реального часу, що допомагає командам продуктивно взаємодіяти.

Сам по собі CrowdStrike IR Tracker — не панацея від усіх «хвороб» процесу IR, а скоріше інструмент, який при правильному використанні може значно підвищити ефективність співпраці між окремими особами та командами. Як і всі інструменти, він повинен використовуватися правильно, і одним із ключових постулатів команди CrowdStrike IR є "гігієна трекера". Ми знаємо, що якщо трекер CrowdStrike IR не актуалізується, то результати будуть низькими. Трекер здатний принести реальну користь, але вона може бути отримана лише завдяки зусиллям, що прикладаються ВСІМА членами команди, РЕГУЛЯРНО. Підтримка системи відстеження інцидентів вимагає роботи та дисципліни, але ми впевнені, що це варте витрачених сил.

CrowdStrike ділиться шаблоном CrowdStrike Incident Response Tracker, щоб дати спільноті DFIR відправну точку для збору та запису артефактів інциденту у консолідованій та організованій формі. Ми сподіваємося, що цей ресурс стане корисною основою для розвитку вашої власної організації або у випадках, коли IR-трекер необхідний у найкоротші терміни.

Дізнатися про інші рішення від CrowdStrike.

It is necessary to remind that iIT Distribution є офіційним дистриб'ютором компанії CrowdStrike, який забезпечує дистрибуцію та просування рішень на території України, Казахстану, Узбекистану та Грузії, а також професійну підтримку у їхньому проєктуванні та впровадженні. Ми завжди забезпечуємо необхідний рівень інформаційної підтримки нашим партнерам та замовникам по кожному продукту та готові надати консультації з будь-яких питань, пов'язаних з підвищенням ефективності функціонування вашої IT-інфраструктури та її захисту.


Експлойт noPac: Нова вразливість Microsoft AD може призвести до повної компрометації домену за лічені секунди


Що сталося?

Нещодавно компанія Microsoft оприлюднила два критичні CVE, пов'язані з Active Directory (CVE-2021-42278 і CVE-2021-42287), які при їх комбінованому використанні зловмисником можуть призвести до підвищення привілеїв і, як наслідок, — до компрометації домену.

У середині грудня 2021 року був виявлений експлойт, що поєднує ці два дефекти в Microsoft Active Directory (його також називають "noPac"). Він дозволяв зловмисникам підвищувати привілеї звичайного користувача домену до адміністратора, що давало можливість здійснити безліч атак, таких як заволодіння доменом або ransomware.

Це викликає серйозне занепокоєння, оскільки цей експлойт був підтверджений багатьма дослідниками як експлойт, який не потребує значних зусиль для його експлуатації і несе в собі дійсно критичний вплив на безпеку інфраструктури. Дослідники з Secureworks продемонстрували, як можна використовувати ці вразливості Active Directory для отримання привілейованих прав доступу до домену лише за 16 секунд. Так, ви все правильно зрозуміли – зламаний домен за чверть хвилини!

Наслідки та реакція Microsoft

До цих уразливостей не можна ставитися несерйозно, оскільки тепер існує загальнодоступний експлойт, що дозволяє захопити домен без особливих зусиль (з використанням стандартного налаштування). Захоплення привілеїв домену дозволяє суб'єктам загроз отримати контроль над ним і використовувати його як відправну точку для розгортання шкідливого ПЗ, включаючи ransomware. Це один із найсерйозніших експлойтів, виявлених за останні 12 місяців, але він був менш обговорюваним, частково через підвищену увагу до вразливості Log4j. Microsoft схарактеризувала останню CVE як "менш ймовірну" загрозу безпеці, хоча експлойти на той момент вже були оприлюднені.

Проте, у зв'язку з критичністю виявлених помилок Microsoft опублікувала посібник для користувачів, який містить інструкції про те, що необхідно зробити, щоб знизити ймовірність компрометації за допомогою цього публічного експлойту.

Серед рекомендацій:

  • Переконатись, що всі контролери домену (DCs) "пропатчені". Якщо хоча б один з них залишиться невиправленим, це означатиме, що весь домен, як і раніше, вразливий. Виправлення контролера домену не є тривіальним завданням з огляду на його критично важливі властивості.
  • Виконати ручний пошук підозрілих подій, а потім використовувати ці події як відправну точку для подальшого ручного розслідування. Щобільше, потрібно буде не лише виконати ручний пошук, а й вручну вказати всі назви контролера домену. Знову ж таки, будь-яка допущена помилка може призвести до упущення зачіпок у пошуку.

Що це означає для користувачів Falcon?

Користувачі CrowdStrike Falcon Identity Protection можуть автоматично виявляти спроби використання цих вразливостей — навіть якщо вони не мали можливості застосувати виправлення до контролера домену Active Directory. Це стало можливим завдяки нещодавно випущеному розширенню від CrowdStrike products, яке дозволяє автоматично детектувати використання CVE-2021-42278 та CVE-2021-42287 (також відомих як "noPac"), сповіщаючи про будь-які спроби їх використання. CrowdStrike розуміє, що командам безпеки і без цього доводиться нелегко, тому виробники подбали про те, щоб процес виявлення не вимагав додаткового ручного налаштування з боку клієнтів.

На додаток до вищезгаданої функції виявлення, Falcon Identity Protection може блокувати noPac за допомогою простої політики, що забезпечує багатофакторну автентифікацію (MFA) для користувачів, незалежно від факту виявлення. Таким чином, юзери, захищені політиками Falcon Identity Protection знаходяться в безпеці.

Це не перший випадок, коли користувачі Falcon Identity Protection отримують надійний захист від виявлених вразливостей Microsoft Active Directory.

У січні 2021 року було виявлено вразливість MSRPC Printer Spooler Relay (CVE-2021-1678), що вимагає від користувачів негайного внесення виправлень. І в цьому випадку недостатньо було просто "пропатчити" свою інфраструктуру — потребувалося додаткове налаштування. Falcon Identity Protection також покрив цю вразливість, виявивши аномалії NTLM and атаки NTLMrelayа.

Атака Bronze Bit (CVE-2020-17049) – ще один приклад уразливості, яку помітили понад рік тому. Розв'язання цієї проблеми з боку Microsoft полягало в тому, щоб попросити користувачів негайно "пропатчити" контролери домену. І в той час, як користувачі Falcon Identity Protection вже мали всі необхідні засоби для виявлення, Microsoft досі зволікають із запланованим випуском інструментів виявлення CVE-2020-17049.

Існують інші вразливості, такі як Zerologon (CVE-2020-1472), які щорічно знаходять у Microsoft Active Directory, а також постійні проблеми з компрометацією supply chain Microsoft AD.

Ймовірно, у майбутньому ми не перестанемо спостерігати нові вразливості. Питання лише в тому, наскільки добре захищена ваша організація, перш ніж ви зможете створити патч у своєму середовищі і переконатися, що при цьому більше нічого не порушено. Як видно з наведених вище прикладів, користувачі Falcon Identity Protection захищені не лише спеціальними засобами виявлення, але й можливістю застосування політики Zero Trust для запобігання крадіжці облікових даних та експлуатації в домені.


Ця вразливість ще раз демонструє прямий взаємозв'язок між ідентифікацією (identity) та програмами-вимагачами. Встановлення патчів та зміна конфігурації може забрати багато часу, особливо за наявності декількох вразливостей одночасно (наприклад, Log4j). CrowdStrike products на постійній основі забезпечує безперебійну безпеку та захист своїх клієнтів для того, щоб вони мали змогу вільно пріоритизувати свою роботу відповідно до бізнес-плану.

Learn more about solutions from CrowdStrike products.

iIT Distribution пропонує компаніям найкращі рішення для захисту та підвищення ефективності своїх ІТ-інфраструктур. Ми практикуємо комплексний підхід, при якому клієнт отримує необхідне програмне забезпечення, технічне обладнання, а також послуги з впровадження та просування.


Як CrowdStrike захищає клієнтів від загроз, пов'язаних з Log4Shell

  • Log4Shell, найновіша критична вразливість, знайдена в бібліотеці Log4j2 Apache Logging Services, становить серйозну загрозу для організацій
  • Активні спроби використати вразливість в реальних умовах робить цю вразливість найбільш серйозною загрозою на сьогодні
  • CrowdStrike використовує індикатори атак (IOA) і машинне навчання для захисту своїх клієнтів
  • CrowdStrike продовжує стежити за еволюцією Log4Shell, а також впроваджувати та оновлювати всі контрзаходи, необхідні для захисту клієнтів
  • Організаціям, які використовують Log4j2, наполегливо рекомендується оновити бібліотеку до останньої версії Log4j2 (2.16.0), яку опубліковано 14 грудня 2021 р.
  • Наразі нема потреби в оновленні клієнта CrowdStrike Falcon, або додаткових дій для зменшення наслідків вразливості. Для отримання додаткової інформації клієнти можуть відвідати нашу базу знань.

Останні висновки команди CrowdStrike Intelligence щодо Log4Shell (CVE-2021-44228, CVE-2021-45046) свідчать про широкомасштабний вплив цього типу вразливостей. CrowdStrike допомагає захистити клієнтів від загроз, які виникають внаслідок цієї вразливості, використовуючи такі засоби як машинне навчання, та індикатори атаки (IOA).

Log4Shell — це вразливість у поширеній бібліотеці Java, яка широко використовується всюди: від онлайн-ігор до хмарної інфраструктури. CrowdStrike Falcon OverWatch™ помітив активні та постійні спроби використати вразливість. Фінансово мотивовані зловмисники почали швидко використовувати загальнодоступний експлоіт для розгортання на вразливих цільових системах шкідливих програм, використовуючи майнери XMRig, код зворотньої оболонки (reverse shell), троянські програми віддаленого доступу та ботнети.

CrowdStrike використовує різні механізми для захисту клієнтів від зловмисного ПЗ, яке використовує вразливість Log4j2. З моменту виявлення CVE-2021-44228 засоби машинного навчання та IOA CrowdStrike Falcon запобігають діяльності зловмисників.

CrowdStrike продовжує активно стежити за еволюцією Log4Shell і застосовуватиме контрзаходи, необхідні для захисту клієнтів від зловмисної активності, яка виникла результаті використання вразливостей Log4j2.

Вплив вразливості та зловживання, які з нею пов’язані

Log4j2 — це бібліотека з відкритим вихідним кодом і є частиною сервісів Apache Logging Services, яка написана на Java і використовується на різних платформах, таких як Elasticsearch, Flink і Kafka. Оскільки Java є міжплатформним фреймворком, уразливість Log4j2 не обмежується лише додатками, які працюють на певній операційній системі.

Без належного запобігання загроз або встановлення виправлень, зловмисники можуть використовувати вразливість для розгортання шкідливого програмного забезпечення, виконання коду зворотньої оболонки (reverse shells) та інших дій у системах, які було скомпрометовано.

За даними CrowdStrike Intelligence, зловмисники почали проводити активне сканування та спроби використання, спрямовані на вразливі системи та служби, незалежно від операційної системи.

Оскільки Linux відіграє важливу роль у хмарних інфраструктурах, звіти про корисні навантаження, які виконуються за допомогою вразливості Log4j2, показали, що ботнети — такі як Mirai та Muhstik — почали атакувати пристрої всього через кілька днів після того, як вразливість стала загальнодоступною.

Галузеві звіти свідчать також і про інші загрози, спрямовані на операційні системи та фреймворки, вразливі до експлуатації Log4j2, а також сервіси навантажень такі як Cobalt Strike та Metasploit, які розгортаються у спробі створити плацдарм у цільовому середовищі.

Як клієнти можуть використовувати Falcon для полювання на Log4j2

Модуль Log4j2 постачається разом з великою кількістю програмних пакетів сторонніх розробників. З цієї причини полювання на Log4j2 буде не таким простим, як пошук його виконуваного файлу, його хешу SHA256 або шляху до файлу. Клієнти CrowdStrike Falcon можуть використовувати готові інформаційні панелі для всіх підтримуваних операційних систем, щоб виявити активне використання вразливості Log4j2 у своєму середовищі.

Окрім інформаційних панелей, клієнти можуть використовувати телеметрію датчика Falcon та шукати використання Log4j2 способами, які відповідають тому, як розробники можуть використовувати його у своїх програмах. Ось запит Falcon Insight™ для пошуку використання Log4j2:

event_simpleName IN (ProcessRollup2, SyntheticProcessRollup2, JarFileWritten, NewExecutableWritten, PeFileWritten, ElfFileWritten)
| search *log4j*
| eval falconEvents=case(event_simpleName="ProcessRollup2", "Process Execution", event_simpleName="SyntheticProcessRollup2", "Process Execution", event_simpleName="JarFileWritten", "JAR File Write", event_simpleName="NewExecutableWritten", "EXE File Write", event_simpleName="PeFileWritten", "EXE File Write", event_simpleName=ElfFileWritten, "ELF File Write")
| fillnull value="-"
| stats dc(falconEvents) as totalEvents, values(falconEvents) as falconEvents, values(ImageFileName) as fileName, values(CommandLine) as cmdLine by aid, ProductType
| eval productType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, productType, Version, AgentVersion, totalEvents, falconEvents, fileName, cmdLine
| sort +productType, +ComputerName

Ось ще один запит, який шукає спроби експлуатації Log4j2:

 search index=main event_simpleName=Script* cid=* ComputerName=*
| eval ExploitStringPresent = if(match(ScriptContent,"(env|jndi|ldap|rmi|ldaps|dns|corba|iiop|nis|nds)"),1,0)
| search ExploitStringPresent = 1
| rex field=ScriptContent "(?i)(?<ExploitString>.*j'?\}?(?:\$\{[^}]+:['-]?)?n'?\}?(?:\$\{[^}]+:['-]?)?d'?\}?(?:\$\{[^}]+:['-]?)?i'?\}?(?:\$\{[^}]+:['-]?)?:'?\}?[^/]+)"
| eval HostType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| stats count by aid, ComputerName, HostType, ExploitString
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, HostType, Version, AgentVersion ExploitString
| rename ComputerName as "Computer Name", HostType as "Device Type", Version as "OS Version", AgentVersion as "Agent Version", ExploitString as "Exploit String"
| search "Exploit String"="***"

CrowdStrike захищає клієнтів за допомогою машинного навчання та індикаторів атаки

Запобіжні заходи CrowdStrike Falcon спрямовані на застосування тактик та прийомів, які використовуються противниками та тестувальниками, а не на їх конкретні дії. CrowdStrike Falcon забезпечує захист від шкідливих загроз в різних напрямках, використовуючи машинне навчання та IOA для відстеження поведінки шкідливих процесів або сценаріїв на кінцевій точці навіть під час роботи з новими загрозами.

Унікальним внеском машинного навчання є те, що воно може ідентифікувати як відоме, так і нове зловмисне програмне забезпечення або загрози, аналізуючи зловмисні наміри на основі атрибутів файлу. Клієнт CrowdStrike Falcon використовує як хмарне, так і локальне машинне навчання на платформах Windows, Linux і macOS для виявлення та запобігання загрозам, які зараз розгортаються зловмисниками з використанням вразливості Log4j2, і він дуже ефективний у захисті від різноманітних типів шкідливих програм, таких як програми-вимагачі, майнери, трояни та ботнети.

Зображення 1. Знімок екрана, на якому Falcon ML успішно запобігає зловмисній діяльності, пов'язаній з Log4j2

На зображенні 1 показана успішна протидія Falcon ML після запуску зловмисниками шкідливої діяльності з використанням вразливості Log4j2. Як ми бачимо, процес bash під Java відповідає за використання утиліт wget і cURL для завантаження корисного навантаження першого етапу, позначеного AAA, розгортанню якого успішно запобігає локальне машинне навчання Falcon. Варто зазначити, що машинне навчання Falcon проактивно звітувало про зловмисну діяльність ще до оголошення про вразливість Log4j2.

Окрім захисту за допомогою машинного навчання, на скріншоті також показано, як команда Falcon OverWatch виявляє та надсилає сповіщення про шкідливий процес bash під Java, що є прикладом багаторівневого підходу, який CrowdStrike використовує для захисту наших клієнтів.

IOA є важливою частиною стратегії, яку використовує Falcon, коли справа доходить до виявлення загроз, включаючи нещодавно розгорнуті зловмисниками з використанням вразливості Log4j2. Цей підхід базується на виявленні наміру який має зловмисник, незалежно від шкідливого програмного забезпечення, яке використаного в атаці.

Наприклад, CrowdStrike Falcon зміг запобігти множинним розгорнутим загрозам за допомогою існуючого IOA. Спостерігаючи та зосереджуючись на серії дій і тактик, які намагаються здійснити противники, CrowdStrike Falcon може успішно виявляти та блокувати нові та невідомі загрози, які демонструють подібну поведінку.

Зображення 2. Знімок екрана, що демонструє, як Falcon IOA успішно запобігає зловмисній діяльності, пов'язаній з Log4j2

На зображенні 2 показано, як Falcon IOA успішно запобігає та нейтралізує шкідливу діяльність до того, як процес зміг запустити зловмисний код. Як наслідок, — жодної подальшої зловмисної діяльності після експлуатації на кінцевій точці не відбулося. Оскільки IOA можуть залучатися динамічно і не вимагають оновлення клієнтської частини, команда CrowdStrike Content Research & Response змогла випустити понад два десятки нових IOA протягом кількох годин після виявлення вразливості, покращуючи наявне покриття Falcon проти дій, пов'язаних з експлуатацією Log4j2.

Незалежно від того, чи використовується Windows, Linux чи macOS, CrowdStrike Falcon застосовує засоби виявлення поведінки, машинного навчання та розширеного запобігання зловмисній діяльності, щоб захистити клієнтів і зупинити порушення.


  • Організаціям, які використовують Log4j2, настійно рекомендується оновити бібліотеку до останньої версії Log4j2 (2.16.0), яку опубліковано 14 грудня 2021 р.
  • Перевірте всю інфраструктуру, програмні додатки та ланцюжок постачання програмного забезпечення для виявлення залежностей від фреймворку журналу Apache Log4j2
  • Переконайтеся, що ваші політики запобігання CrowdStrike Falcon налаштовані у відповідності до найкращих практик
  • Визначайте важливі програми/послуги та залишайтеся в курсі рекомендацій постачальників, щоб стежити за розвитком ситуації

Примітка. Клієнти CrowdStrike Falcon можуть звернутися до нашого порталу підтримки клієнтів, щоб отримати детальні інструкції щодо того, як виявити та пом’якшити системи, уразливі до Log4j2/Log4Shell.

Більше про компанію CrowdStrike та про її рішення

Менеджери iIT Distribution допоможуть вам з будь-якими питаннями щодо впровадження безпекових рішень CrowdStrike. Адже саме ми офіційно забезпечуємо їхнє втілення на території України, Казахстану, Узбекистану та Грузії.


Що таке SCAR і якими технологіями керуються мисливці на загрози з команди Falcon OverWatch?


CrowdStrike Falcon OverWatch — це служба полювання на загрози, що включає в себе найкращих та найпрофесійніших аналітиків галузі, які борються із сучасними досвідченими зловмисниками. Але хоч люди й лишаються важливим компонентом забезпечення успіху OverWatch, діяльність мисливців на загрози також підтримується кращими у своєму класі технологіями, які дозволяють їм працювати з максимальною ефективністю.

Ці технології були створені не випадково. Група фахівців з команди OverWatch взяли на себе місію озброїти мисливців на загрози технологіями та інструментами, які необхідні їм для зупинки зловмисних суб’єктів на їхньому шляху. Ця група новаторів складає команду Стратегічних Досліджень Протидії, відомої як SCAR (Strategic Counter Adversarial Research).

Особиста Команда технічного супроводу OverWatch

Якби OverWatch були гоночною командою, SCAR був би PIT. Місія SCAR полягає в тому, щоб забезпечити постійну роботу OverWatch на максимумі продуктивності.

Подібно до того, як піт-команда завжди прагне модифікувати автомобіль для перегонів, щоб забезпечити його максимальну продуктивність для гонщика, дослідники SCAR втілюють інновації та вдосконалюють технології, які є основою для виявлення загроз OverWatch. Щоб розширити потенціал компанії, цілеспрямовано втілюючи інновацій та створюючи нові технології, OverWatch надає своїм мисливцям доступ до найкращих у своєму класі інструментів. Це дозволяє їм працювати на найвищому рівні.

«Тип діяльності, який ми спостерігаємо в OverWatch не може бути просто переданий машині, адже на іншому кінці клавіатури знаходиться людина», — пояснює Девід Зауді, головний дослідник безпеки в OverWatch SCAR.

Завданням OverWatch є пошук активностей, навмисно здійснених для того, щоб ухилитися від технології автоматичної виявлення, тому дуже важливо, щоб мисливці на загрози OverWatch отримували усі необхідні ресурси для швидкого та ефективного полювання. Запатентовані робочі процеси та інструменти, доступні аналітикам OverWatch, дозволяють їм вести пошук в усій базі клієнтів CrowdStrike одночасно та попереджувати клієнтів про шкідливу активність за секунди.

Читати більше про Falcon OverWatch

Вдосконалення технологій, необхідних мисливцям на загрози

Дослідники SCAR щоденно працюють над вдосконаленням поточних технологічних процесів OverWatch, одночасно з цим досліджують та розроблюють нові інструменти, які будуть необхідні для упередження майбутніх атак. Вони постійно споглядають за теперішнім і дивляться в майбутнє.

«Дослідники SCAR дивляться в майбутнє та обмірковують способи протистояння потенційним загрозам. У якому напрямі загроза буде рухатися? Що знадобиться OverWatch, щоб зупинити її?», », - каже Хоган.

Проводячи практичні дослідження, не обмежені специфічними технологіями, дослідники SCAR працюють над створенням нових методів виявлення зловмисників та інструментарію для оптимізації робочих процесів аналітиків щоб дозволити мисливцям на загрози OverWatch працювати розумніше, а не важче. Ця робота включає зворотну шкідливого програмного забезпечення для того, щоб дізнатися більше про його нюанси і створити кращі засоби запобігання. Це необхідно для створення прототипів нових можливостей полювання, щоб перевірити, чи відповідають вони високим стандартам, встановленим організацією пошуку зловмисників.

Крім того, дослідники SCAR взаємодіють з усіма командами компанії CrowdStrike на міжнародному рівні. Оскільки в CrowdStrike працюють тисячі співробітників, процес кооперування не є легким. Проте міжвідомче співробітництво має вирішальне значення в досягненні успішного функціонування OverWatch і CrowdStrike в цілому. SCAR стежать за тим, щоб продукти та сервіси, які розроблює CrowdStrike, доповнювали робочі процеси та інструменти, які мисливці на загрози OverWatch використовують щоденно. Це зміцнює здатність CrowdStrike надавати чудове обслуговування клієнтам та зрештою, зупиняти порушення.

«Ми допомагаємо визначати пріоритети ініціатив та відстоювати потреби OverWatch – як для наших мисливців, так і для наших клієнтів», — зазначає Девід Зауді. «Це допомагає нам всім лишатися на зв’язку та виконувати нашу місію – зупиняти порушення».

Не дивлячись на те, що кожне клієнтське середовище є самостійним об’єктом, масштабування робочих процесів та інструментів OverWatch, що розроблені та підтримані SCAR, дозволяє мисливцям на загрози ефективно використовувати трильйони точок даних для отримання конкретних ознак загроз. Це дозволяє їм спостерігати за активністю в середовищі одного клієнта, а потім полювати за такою самою активністю у всій клієнтській базі одночасно.

Продумана ставка OverWatch на технологічні інновації дозволяє команді вирішувати найскладніші завдання із захисту тисяч унікальних клієнтських середовищ. Для виконання своєї мети OverWatch спирається на фундамент передових технологій. Створення і підтримка цієї технологічної основи – це та цінність, яку SCAR надає не лише OverWatch та CrowdStrike, а й щоденно усім своїм клієнтам.

IT Distribution пропонує лише найкращі рішення безпеки. Ми є офіційним дистриб’ютором компанії CrowdStrike і забезпечуємо втілення їхніх рішень на території України, Казахстану, Грузії та Узбекистану, а також здійснюємо професійну підтримку для їх проєктування та впровадження.


Рішення CrowdStrike Falcon отримало найвищу оцінку AAA за результатами тестування організації SE Labs


Згідно з результатами Breach Response Test, представленими в останньому звіті незалежної організації SE Labs, рішення CrowdStrike Falcon відповідає найвищому стандарту ААА. Ця оцінка яскраво демонструє бездоганні здібності Falcon до автоматичного виявлення, захисту від складних атак та неослабної ефективності в нейтралізації та блокуванні загроз.

Мета тестування SE Labs – дати користувачам повне уявлення про можливості рішень для захисту кінцевих точок, шляхом випробування їх за допомогою поширених інструментів атаки, які зазвичай використовуються порушниками на ранніх стадіях злому, та шкідливих програм, які є найбільш типовими для поточного ландшафту загроз. CrowdStrike Falcon бере участь у тестуванні SE Labs з березня 2018 року, завойовуючи при цьому найвищі показники рейтингу AAA у звітах SE Labs Enterprise Endpoint Protection. Вже втретє Falcon отримує найвищу оцінку ААА згідно з аналізом показників захисту кінцевих точок підприємств!

Тестування рішень на здатність виявляти та захищати системи від загальних загроз включало перевірку точності ідентифікації веб-загроз, таких, як URL-адреси, які зловмисники зазвичай використовують для того, щоб обманом змусити користувачів завантажити віруси або виконати шкідливі сценарії. Перевірка можливостей виявлення та блокування експлойтів, а також точної ідентифікації легітимних програм також є частиною сценарію тестування, при якому CrowdStrike Falcon отримав оцінку AAA 99% Total Accuracy and 100% Legitimate Accuracy. Хибні спрацьовування, що виникають внаслідок некоректної ідентифікації легітимних додатків та веб-сайтів як шкідливих, можуть призвести до серйозних збоїв у роботі бізнесу. Таким чином, показник 100% Legitimate Accuracy означає, що підприємство витратить менше часу, зусиль та грошей на усунення хибних спрацьовувань та повернення систем у робочий стан.

Тестування кожного з етапів виявлення та захисту на усіх типових стадіях атаки, як правило, здійснюваної майстерними зловмисниками, дозволяє оцінити рівень реакції рішення безпеки на ці атаки. CrowdStrike Falcon отримав 99 Protection Score, що свідчить про неймовірно високий рівень захисту на різних стадіях атаки. Цим балом SE Labs оцінює здатність продуктів безпеки захищати системи шляхом виявлення, блокування чи нейтралізації загроз залежно від того, наскільки серйозними можуть бути результати атаки.

Рішення, які можуть виявити та нейтралізувати загрози на ранніх стадіях атаки, оцінюються вище, оскільки здатні захистити системи від найскладніших атак. І навпаки, тест серйозно критикує ті програмні забезпечення, які блокують легітимні програми, створюючи помилкові спрацьовування. І саме чудові показники аналізу здатності блокувати загрози на ранніх стадіях атаки дозволило CrowdStrike Falcon досягти відмінних результатів в автоматичному виявленні та захисті від інцидентів.

Нагадаємо про решту перемог CrowdStrike, пов'язаних з дослідженнями SE Labs:

  • Компанія отримала престижну нагороду SE Labs "Best Endpoint Detection and Response" у 2021 році.
  • CrowdStrike вже другий рік поспіль отримує нагороду "Найкращий EDR" завдяки відмінним показникам роботи EDR та результатам тестування за останні 12 місяців.

Ці досягнення демонструють справжню непохитність і відданість CrowdStrike своїй місії — максимально якісно запобігати порушенням.

Дізнатися про рішення від CrowdStrike products детальніше.


Mobile Marketing