fbpx

Наши представительства: 

Заказать обратный звонок
btn

Команда CrowdStrike провела исследование программы-вымогателя PartyTicket, нацеленной на украинские компании

Релиз

23 февраля 2022 был проведен ряд разрушительных кибератак, направленных на украинские организации. Согласно отраслевым отчетам, в нескольких организациях, непосредственно пострадавших от атаки, была обнаружена Go-based программа-вымогатель под названием PartyTicket (или HermeticRansom). Вместе с ней были идентифицированы и другие семейства вредоносных программ, включая программу типа Wiper, которую разведка CrowdStrike отслеживает как DriveSlayer (HermeticWiper).

Анализ программы-вымогателя PartyTicket показал, что она реализует достаточно поверхностное шифрование файлов, неправильно инициализируя ключ шифрования, что позволяет дешифровать зашифрованный файл с соответствующим расширением. .encryptedJB.


Технический анализ

Экземпляр программы-вымогателя PartyTicket имеет хэш SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Было отмечено, что он связан с именами файлов cdir.exe, cname.exe, connh.exe и intpub.exe.

Экземпляр программы-вымогателя, написанный с помощью Go версии 1.10.1, содержит много символов, которые ссылаются на политическую систему США, включая voteFor403, C:/projects/403forBiden/wHiteHousE и primaryElectionProcess.

Программа-вымогатель перебирает буквы всех дисков и рекурсивно перечисляет файлы на каждом диске и его подпапках, за исключением путей к файлам, содержащим строки Windows и Program Files, а также пути к папке C:\Documents and Settings (последняя папка была заменена в версиях Windows, Windows XP, C:\Users). Для шифрования выбираются файлы со следующими расширениями:


acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip


Для каждого пути к файлу, проходящему ранее описанные проверки, ransomware копирует собственный экземпляр в тот же каталог, из которого он был запущен, и запускает его через командную строку, передавая путь к файлу в качестве аргумента. Родительский процесс ransomware присваивает имена своим клонам с помощью случайного UUID, созданного общедоступной библиотекой, использующей текущую метку времени и MAC-адреса сетевых адаптеров зараженного хоста.

Разработчик вредоносной программы пытался использовать типы WaitGroup языка Go для реализации многопоточности, но из-за вероятной ошибки в кодировании программа создает большое количество потоков (по одному на перечисленный путь к файлу) и копирует собственный двоичный файл в текущий каталог столько раз, сколько было выбрано файлов. После завершения всех потоков шифрования исходный двоичный файл удаляет себя через командную строку.

Когда экземпляр получает путь к файлу в качестве аргумента, он шифрует его с помощью AES в режиме Galois/Counter (GCM). Ключ AES генерируется с помощью функции Intn пакета Go rand для выбора смещения в массиве символов 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, генерируя 32-байтовый ключ Из-за вероятной ошибки в кодировании затравка для функции Intn обновилась после генерации ключа, то есть при каждом запуске бинарного файла и его клонов генерируется один и тот же ключ AES. Все файлы, зашифрованные на хосте, шифруются тем же ключом, и знание ключа соответствующего экземпляра PartyTicket позволяет расшифровать их. Сценарий, использующий этот недостаток для восстановления зашифрованных файлов, доступен в Git-репозитории CrowdStrike.

Для каждого файла ключ шифрования AES сам шифруется с помощью RSA-OAEP, используя открытый ключ RSA, который имеет следующие параметры:

Modulus (N): 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
Exponent (E): 0x10001


Перед шифрованием программа-вимогатель переименовывает файл в формате <original file name>.[[email protected][.]com].encryptedJB ("JB", вероятно, означает инициалы президента США Джозефа Байдена, учитывая политическое содержание бинарного файла). Затем приложение-вымогатель перезаписывает содержимое зашифрованными данными. PartyTicket шифрует только первые 9437184 б (9,44 МБ) файла. Если размер файла, переданного в качестве аргумента больше лимита, все данные, превышающие ограничения, остаются незашифрованными. После шифрования содержимого файла PartyTicket добавляет к концу файла ключ AES, зашифрованный с помощью RSA.

Перед началом шифрования программа пишет выкупную HTML-заметку в каталог рабочего стола пользователя с названием read_me.html (рисунок 1). Если это не намеренные ошибки, грамматические конструкции в заметке свидетельствуют о том, что она, вероятно, не была написана или вычитана человеком, свободно владеющим английским.

Рисунок 1. Выкупная записка


Анализ

Сначала аналитическая служба CrowdStrike не приписывала деятельность программы PartyTicket конкретному злоумышленнику.

Программа-вымогатель содержит ошибки в реализации, что делает ее шифрование медленным и легко взламываемым. Этот недостаток говорит о том, что автор вредоносной программы либо не имел опыта написания на языке Go, либо приложил мало усилий для ее тестирования, возможно из-за ограниченного времени разработки. В частности, PartyTicket не так совершенен, как DriveSlayer, реализующий низкоуровневую схему анализа NTFS Относительная незрелость и политическая направленность этой программы-вымогателя, время ее развертывания и ориентация на украинские организации позволяют предположить, что она используется как дополнительная полезная нагрузка к DriveSlayer, а не как стандартная программа-вымогатель.


Сигнатуры YARA

Для обнаружения PartyTicket можно использовать следующее правило YARA:


Сценарий для расшифровки файлов

Из-за выше описанных ошибок в генерации ключа AES, используемого PartyTicket в процессе шифрования, его можно расшифровать. Следующий скрипт Go расшифровывает файлы, зашифрованные экземпляром PartyTicket 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Скрипт принимает файл для расшифровки в качестве аргумента через flag "-p" и сохраняет расшифрованный результат в "decrypted.bin" в том же каталоге. Сценарий может быть создан посредством файла, запущенного с помощью пакета Go run; он был протестирован с помощью Go версии 1.16.6.


Узнайте, как защитить свою организацию от современных кибератак с помощью продуктов CrowdStrike.


iIT Distribution – официальный дистрибьютор решений от CrowdStrike, которые позволяют компаниям использовать передовые технологии в области построения бесперебойной защиты своих IT-инфраструктур. Мы тесно сотрудничаем с нашими клиентами, предоставляя полный комплекс услуг по сопровождению проектов.


Назад

CrowdStrike Falcon защищает от нового вредоносного ПО типа Wiper, используемого в кибератаках против Украины

Новость

CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.


23 февраля 2022 года стало известно о появлении новой вредоносной wiper-программы, поразившей украинские системы. После серии атак типа "denial-of-service" и взлома ряда украинских веб-сайтов новая вредоносная программа нарушила работу главной загрузочной записи (MBR), а также разделов и файловой системы всех доступных физических дисков на машинах Windows.

Разведка CrowdStrike дала название этому новому разрушительному ПО — DriveSlayer, и это уже вторая программа типа Wiper, поразившая Украину в свете недавних атак с использованием вредоносной программы WhisperGate. DriveSlayer имеет цифровую подпись с использованием действующего сертификата. Это ПО злоупотребляет легитимным драйвером EaseUS Partition Master для получения доступа к диску и управления им с целью привести систему в неработоспособное состояние.


Платформа CrowdStrike Falcon способна обеспечить надежную и непрерывную защиту от DriveSlayer и угроз типа wiper, предоставляя возможность отслеживать рабочие нагрузки в реальном времени для защиты клиентов.

Проверьте эффективность решения от CrowdStrike лично, отправив нам запрос на тестирование высокоэффективной платформы Falcon.


Технический анализ

В отличие от WhisperGate, который использует высокоуровневые вызовы API, DriveSlayer использует прямой доступ к диску с целью уничтожения данных.

При инициализации, два дополнительных параметра командной строки могут быть использованы для указания времени сна вредоносной программы перед началом процесса уничтожения и перезагрузкой системы. Если они не указаны, то по умолчанию будет задано значение 20 и 35 минут.

Далее вредоносная программа убеждается в том, что у нее есть соответствующие привилегии для выполнения своих разрушительных действий. Она использует API AdjustTokenPrivileges для присвоения себе следующих привилегий: SeShutdownPrivilege, SeBackupPrivilege и SeLoadDriverPrivilege.

Название привилегии Описание
SeShutdownPrivilege Обеспечивает возможность выключения локальной системы
SeBackupPrivilege Обеспечивает возможность выполнения операций резервного копирования системы
SeLoadDriverPrivilege Обеспечивает возможность загрузки или выгрузки драйвера устройства


Разнообразные драйверы будут загружаться в зависимости от версии системы. Вредоносная программа использует IsWow64Process для определения версии загружаемого драйвера. Эти драйверы хранятся в секции ресурсов двоичного файла и сжимаются с помощью алгоритма Lempel-Ziv. Файл драйвера записывается в system32\drivers с 4-символьным, псевдослучайно сгенерированным именем. Затем этот файл распаковывается с помощью LZCopy в новый файл с расширением ".sys".

Пример названия файла Описание
C:\Windows\System32\drivers\bpdr Драйвер, сжатый с помощью алгоритма Лемпеля-Зива
C:\Windows\System32\drivers\bpdr.sys Декомпрессированный драйвер


Перед загрузкой драйвера вредоносная программа отключает аварийный дамп, устанавливая следующий ключ реестра:

Реестр Значение Описание
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Отключает аварийный дамп

Для загрузки драйвера создается новая служба с помощью API CreateServiceW. Именем и отображаемым именем для этой службы является 4-символьное значение, используемое для имени файла. Затем StartServiceW запускается в цикле пять раз, чтобы убедиться, что драйвер загружен. Сразу после загрузки драйвера служба уничтожается путем удаления всего ключа реестра.

После завершения процесса загрузки драйвера служба VSS отключается с помощью диспетчера служб управления. Затем создается несколько дополнительных потоков. Один из потоков создается с целью обработки перезагрузки системы. Он будет находиться в режиме сна в течение времени, указанного параметром командной строки, равного 35 минутам, после чего система будет перезагружена вызовом API InitializeSystemShutdownExW.

Другой поток отключает функции пользовательского интерфейса, которые могут предупредить пользователя о подозрительной активности, происходящей в системе, перед итерацией подключенных дисков.

Реестр Значение Описание
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowCompColor
0 Отключение цветов для сжатых и зашифрованных файлов NTFS
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowInfoTip
0 Отключение всплывающей информации о папках и элементах рабочего стола


Наконец, вредоносная программа начинает свою разрушительную работу, порождая множество дополнительных потоков, которые перезаписывают файлы на диске и уничтожают таблицы разделов. После перезагрузки системы пользователь увидит пустой экран с надписью "Операционная система отсутствует".


Непрерывный мониторинг и видимость, предоставляемые платформой Falcon останавливают разрушительное влияние DriveSlayer

Платформа Falcon использует многоуровневый подход для защиты рабочих нагрузок. Используя on-sensor и cloud-based машинное обучение, behavior-based обнаружение с использованием индикаторов атак (IOA) и разведданные о тактиках, методах и процедурах (TTP), применяемых субъектами угроз, платформа Falcon обеспечивает видимость, обнаружение и непрерывный мониторинг для любой среды, сокращая время на поиск и устранение угроз.

Как показано на рисунке 1, платформа Falcon использует облачное машинное обучение для обнаружения DriveSlayer и предотвращения выполнения вредоносной программой зловредных действий, таких как загрузка дополнительных компонентов.


Рисунок 1. Облачное машинное обучение платформы Falcon обнаруживает DriveSlayer wiper


IOA платформы Falcon, основанные на поведенческих факторах, могут выявлять и предотвращать выполнение подозрительных процессов или загрузку дополнительных компонентов, а также другие виды вредоносного поведения. Например, Falcon способен определить такое поведение DriveSlayer, как вмешательство в определенные ключи реестра. Behavior-based выявление дополнительно накладывается на традиционное обнаружение хэшей на основе индикаторов компрометации (IOC) (см. Рисунок 2).


Рисунок 2. CrowdStrike Falcon выявляет и предотвращает деструктивную деятельность DriveSlayer


DriveSlayer не имеет встроенных технологий распространения по инфраструктурам, а сведения о его использовании в атаках на украинские системы пока ограничены. Компания CrowdStrike и дальше будет следить за ситуацией и сообщать о происходящем по мере ее развития.

Клиенты CrowdStrike Falcon могут осуществлять проактивный мониторинг своих сред с помощью hunting-запросов для выявления индикаторов присутствия DriveSlayer. Ознакомьтесь с кратким описанием DriveSlayer и способами его поиска на портале поддержки CrowdStrike.

iIT Distribution как официальный дистрибьютор решений компании CrowdStrike настоятельно рекомендуем организациям, сталкивающимися с рисками киберинцидентов, принять меры по повышению своей операционной устойчивости. Решения безопасности от CrowdStrike способны защитить от вредоносного ПО и угрозы уничтожения данных, обеспечивая полную видимость среды и интеллектуальный мониторинг облачных ресурсов с целью обнаружения и реагирования на потенциальные угрозы - в том числе разрушительные - и ограничения возможного ущерба.

Назад

Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate

Статьи и обзоры

Вочевидь, усі ми пам’ятаємо, як з 13 по 14 січня 2022 року низка державних органів України зазнала потужної кібератаки, у результаті якої постраждало 70 національних сайтів (10 з них зазнали безпосереднього втручання в бази даних). Як стало відомо незабаром після інциденту, він був викликаний системою вірусів WhisperGate набором шкідливих програм, діяльність яких спрямована на знищення даних на уражених ресурсах.


Якщо ви зволікали з цим раніше, саме час спрямувати свої сили на підбір по-справжньому ефективного рішення для детектування ризиків та захисту ваших систем. Просто зараз перегляньте видео, яке демонструє потужні можливості CrowdStrike Falcon у покроковому виявленні WhisperGate.


CrowdStrike Falcon — хмарне рішення, яке захищає кінцеві точки шляхом об'єднання антивірусу нового покоління, системи EDR (виявлення і реагування на загрози кінцевих точок) і цілодобової керованої служби пошуку загроз.

Falcon базується на штучному інтелекті (AI) і об'єднує технології, інтелект та досвід в одне просте рішення, яке надійно зупиняє будь-які загрози. Платформа за лічені хвилини забезпечує захист у реальному часі, а ефективні алгоритми штучного інтелекту дозволяють побачити результат вже з першого дня використання. Хмарна інфраструктура та архітектура усувають складність у роботі з різними додатками, забезпечують керованість та швидкість рішення.

Відкрийте для себе рішення від CrowdStrike.


Впевніться в тому, що Falcon не залишить зловмисникам жодного шансу на непомітне проникнення в вашу IT-інфраструктуру та знищення ваших даних в нашому відео.

Якщо ви обізнані – ви озброєні, підвищуйте рівень своєї кіберстійкості та знищуйте такі потужні загрози, як WhisperGate разом з CrowdStrike!

ПЕРЕГЛЯНУТИ ВІДЕО

Назад

Отчет о глобальных угрозах 2022 года от CrowdStrike!

Новость

CrowdStrike назвала 2022 годом адаптации и выносливости и подготовила отчет о глобальных киберугрозах!


Прошедший год оказался непростым для воинов фронта кибербезопасности. В условиях общественных изменений, вызванных пандемией, хакеры совершенствовали свои навыки и сделали свои технологии более адаптированными, продвинутыми и коварными. Как следствие, мир потряс ряд громких кибератак.

Операция с названием WhisperGate в январе прошлого года была направлена на ряд украинских организаций и государственных структур: вредоносный софт, замаскированный под программу-вымагателя, был использован для полного уничтожения данных на пораженных ресурсах. Злоумышленников не интересовало денежное вознаграждение, как могло показаться поначалу, их целью была дестабилизация общества. Также, достаточно сложной была кибератака Sunburstво время которой злоумышленники воспользовались zero-day уязвимостью и особенностями архитектуры традиционных систем (таких как Microsoft) для распространения вредоносного софта. Не имея возможности прийти в себя, организации потратили колоссальные ресурсы, чтобы защитить supply chain и связанные с ними системы. В то же время, субъекты eCrime поразили большое количество отраслей экономики в рамках big game hunting ransomware (BGH). Эти инциденты стали переломным моментом отрасли кибербезопасности и привлекли внимание к колоссальной уязвимости критической инфраструктуры к вредоносным программам.

Для служб безопасности, где давно существует проблема нехватки квалифицированных кадров, эти вызовы оказались непростыми. Но нагрузка выросла еще больше в конце года, когда уязвимость Log4Shell угрожала полным коллапсом системы безопасности.


Анализ прошлогодних инцидентов позволяет увидеть изменчивую динамику тактики противника, что крайне важно для предотвращения возможных угроз. Именно такой контекст предоставляет CrowdStrike 2022 Global Threat Report. Этот отчет разработан на основе разведданных от ведущих специалистов CrowdStrike Intelligence и Falcon OverWatch. В сочетании с данными, полученными из масштабной телеметрии CrowdStrike Security Cloud, отчет содержит крайне важные сведения, необходимые службам безопасности для понимания характера будущих угроз.


Познакомьтесь с отчетом и узнайте:

  • Почему финансируемые государством злоумышленники нацелились на поставщиков ИТ и облачных услуг, воспользовавшись доверием к supply chain партнерам.
  • Как террористы использовали уязвимости для обхода системы обнаружения атак и получения доступа к критической инфраструктуре.
  • Как опытные хакеры применяли краденные учетные данные для усиления BGH, атак программ-требователей и проникновения в облачные среды.
  • Как преступники усилили атаки на критическую облачную инфраструктуру, используя новые, более совершенные подходы.


Ежегодный отчет также описывает общую ситуацию в сфере безопасности и указывает, что корпоративные риски концентрируются вокруг трех критических областей: конечные точки и облачные нагрузки, идентификация и данные. Киберпреступники продолжают использовать уязвимости на конечных точках и в облачных средах, а также ищут новые способы обхода устаревших систем защиты с единственной целью - кражи ваших данных..
Сегодня, CrowdStrike стремится работать на опережение. Оцените новые мощные возможности расширенного обнаружения и реагирования (Falcon XDR), созданные для защиты организаций от тяжелейших атак. Это решение призвано помочь перегруженным командам служб безопасности автоматизировать реагирование на угрозы и сократить время, необходимое для идентификации зоны поражения.
2021 показал нам, что с какими бы трудностями мы ни столкнулись, хакеры не отступят. Атаки становятся более деструктивными, вызывая массовые перебои во всех сферах общественной жизни. Но это вызов, который мы приняли, и борьба, в которой мы победим вместе!


СКАЧАТЬ CROWDSTRIKE 2022 GLOBAL THREAT REPORT


Узнайте, как защитить ваш бизнес от современных кибератак. используя продукты CrowdStrike.

iIT Distribution – поставщик новейших решений и инструментов, позволяющих корпоративным клиентам использовать передовые технологии в области построения и обслуживания IT-инфраструктуры. Мы тесно сотрудничаем с нашими партнерами для удовлетворения потребностей конечных заказчиков и предоставляем полный комплекс услуг по сопровождению проектов.

Назад

Новейшая разработка Falcon XDR от компании CrowdStrike теперь доступна для пользователей!

Релиз

Мы рады сообщить вам о том, что новое мощнейшее решение CrowdStrike Falcon XDR теперь доступно для приобретения!


Основанное на передовой технологии endpoint detection and response (EDR) и возможностях CrowdStrike Security Cloud, Falcon XDR предлагает пользователем унифицированную, полноспектральую функцию Extended Detection and Response (XDR – расширенное обнаружение и реагирование) следующего поколения, призванную помогать командам безопасности останавливать нарушения быстрее и эффективнее.


Решайте ключевые проблемы обнаружения и реагирования с помощью Falcon XDR


Несмотря на значительный прорыв в развитии технологий безопасности за последнее десятилетие, трудности, с которыми сталкиваются киберслужбы, пытаясь справиться с постоянно растущим потоком уведомлений о нарушениях, только обостряются. Фактически, более трех четвертей (77%) security-специалистов согласны с тем, что обнаруживать и реагировать на угрозы становится сложнее, чем когда-либо.

CrowdStrike создала Falcon XDR с нуля, чтобы обеспечить команды безопасности настоящей, мультидоменной видимостью и полным контролем, необходимым для борьбы с угрозами и предотвращения вторжений всегда и везде.


Falcon XDR решает самые серьезные проблемы обнаружения и реагирования на инциденты, обеспечивая:

  • Видимость, поиск и реагирование с неслыханной скоростью и масштабом. Falcon XDR использует мощь облака CrowdStrike Security Cloud, которое ежедневно коррелирует триллионы событий безопасности и обрабатывает беспрецедентные объемы данных, основываясь на разведке угроз и корпоративной телеметрии с конечных точек клиентов, рабочих нагрузок, данных идентификаций, DevOps, ИТ-и конфигураций. С помощью этих ориентированных на распознание угроз данных, интегрированных в Falcon XDR, команды безопасности уже с первого дня получают подлинное видение общей картины IT-процессов с ценным контекстом безопасности и интуитивно понятным, молниеносным поиском.
  • Консолидированные, междоменные обнаружения и оповещения. Когда дело доходит до обнаружения и реагирования, главным ограничением, на которое ссылается почти половина (47%) security-специалистов безопасности, является изолированный, разобщенный характер данных и их инструментов безопасности. Falcon XDR решает эту проблему в комплексе, превращая ранее непонятные сигналы от разрозненных систем в высокоэффективные результаты обнаружения с предоставлением глубокого контекста расследований. А с помощью интерактивного обзора графов на консоли, специалисты смогут интуитивно визуализировать и отслеживать всю мультидоменную атаку с полным контекстом для каждого шага в цепочке атак.
  • В основе Falcon XDR - ведущее решение EDR. Falcon XDR использует все преимущества ведущего в сфере безопасности набора решений CrowdStrike для защиты конечных точек, включая базовый фреймворк, единый легкий агент и cloud-native архитектуру, на основе которой все это построено. В результате чего команды безопасности избегают внедрения дополнительных процессов и агентов, оптимизируя EDR-инструменты, рабочие процессы и внедряя лучшие практики в куда большее количество доменов своего стека безопасности. Таким образом, Falcon XDR повышает операционную эффективность и устраняет необходимость использования нескольких дашбордов, предоставляя доступ ко всем показателям телеметрии и мерам реагирования в одной центральной консоли.
  • Упрощенное моделирование обнаружений и высокоточные показатели прямо «из коробки». Сегодня службы безопасности работают с запутанными, сложными системами, для работы с которыми требуется месяцы обучения и настроек, прежде чем они начнут генерировать ценные сведения. Security-специалисты не могут позволить себе терять время. Вооружившись Falcon XDR, они с самого начала имеют возможность получать интуитивно понятные, высокоточные результаты обнаружения и богатый контекст событий, что полностью устраняет необходимость вручную писать, настраивать и поддерживать правила обнаружения.
  • Специально разработанные интеграции XDR с решениями Falcon и не только. В дополнение к схеме с открытыми данными встроенной в Falcon XDR, компания CrowdStrike создает широкий спектр возможностей для дальнейшего расширения сферы применения Falcon XDR. Это включает в себя глубокие, конструктивные интеграции как с другими продуктами платформы Falcon (например, Falcon Cloud Security и Falcon Identity Protection), так и с целым рядом систем безопасности и ИТ-систем от лучших мировых производителей в рамках недавно сформированного альянса CrowdXDR Alliance и за его пределами. Кроме того, Falcon Fusion, SOAR от CrowdStrike, также встроена в платформу Falcon. Это позволяет клиентам настраивать активные уведомления и меры для реагирования в режиме реального времени, а также создавать настраиваемые триггеры на основе обнаружения и категоризации инцидентов. Это сможет повысить эффективность и гибкость SOC и ИТ, при одновременном соблюдении требований, предъявляемых к конкретным сценариям использования.


Решайте проблемы, связанные с XDR, с помощью специализированного решения

CrowdStrike лидирует благодаря инновациям. И хоть компании наверняка было бы куда легче отнестись к XDR как к простому ребрендингу и назвать платформу Falcon "платформой XDR", это вне их правил. CrowdStrike сначала выполняет тяжелую работу, а потом позволяет результатам говорить за себя.

Именно так компания подходила к разработке своего легкого агента и cloud-native архитектуры, которые 10 лет назад перевернули рынок устаревших антивирусов. Такой же подход CrowdStrike применила к XDR. Результат: совершенно новое специализированное решение Falcon XDR, а также новый CrowdXDR Alliance, созданный для воплощения в реальность поставленных задач, связанных с обеспечением команд безопасности комплексным обнаружением и реагированием в масштабах всей экосистемы. Чтобы убедиться в исключительности нового решения от CrowdStrike, посмотрите Falcon XDR Demo.


Ознакомиться с пресс-релизом Falcon XDR вы можете по ссылке.


iIT Distribution – официальный дистрибьютор решений от компании CrowdStrike, который помогает организациям обеспечить всестороннюю защиту и повысить эффективность своих ИТ-инфраструктур. Мы практикуем комплексный подход, при котором клиент получает необходимое ПО, техническое оборудование, а также услуги по внедрению и продвижению.

Назад

Технический анализ вредоносного загрузчика WhisperGate, нацеленного на украинские организации

Новость

15 января стало известно, что против ряда украинских организаций был развернут набор вредоносных программ, получивший название WhisperGate. По многочисленным данным, инцидент вызван тремя отдельными компонентами, развернутыми одним и тем же злоумышленником, включая вредоносный загрузчик, повреждающий обнаруженные локальные диски, Discord-загрузчик и и File Wiper.

Активность произошла примерно в то же время, когда несколько веб-сайтов, принадлежащих правительству Украины, были атакованы.

Рассмотрим этот вредоносный загрузчик более детально.


Детали


Компонент установщика для загрузчика имеет следующий хэш SHA256:

a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

и содержит временную метку сборки 2022-01-10 10:37:18 UTC. Он был собран с помощью MinGW, аналогичного компоненту file-wiper. Этот компонент перезаписывает главную загрузочную запись (MBR) зараженного хоста вредоносным 16-битным загрузчиком с хэшем SHA256

44ffe353e01d6b894dc7ebe686791aa87fc9c7fd88535acc274f61c2cf74f5b8

который при загрузке хоста отображает уведомление о выкупе (рис. 1) и одновременно выполняет деструктивные операции на жестких дисках зараженного хоста.


Рис. 1: Поддельное сообщение о выкупе


Операция деструктивного удаление данных имеет следующий псевдокод:


Периодически загрузчик перезаписывает сектора всего жесткого диска зараженного хоста с сообщением, похожим на записку о выкупе, снабженную дополнительными байтами (Рисунок 2).


Рис. 2: Шестнадцатеричный дамп шаблона, записанного на диски зараженного хоста


Данные состоят из строки AAAAA, индекса зараженного диска, записки о выкупе и магического значения 55 AA в колонтитуле MBR, за которым следуют два нулевых байта.

Загрузчик получает доступ к диску через прерывание BIOS 13h в режиме логической адресации блоков (LBA) и перезаписывает каждый 199-й сектор, пока не будет достигнут конец диска. После его повреждения вредоносная программа перезаписывает следующий диск из списка обнаруженных.

Этот процесс не отличается сложностью, но напоминает более продвинутую реализацию вредоносного MBR вируса NotPetya, который маскировался под легитимную утилиту восстановления диска chkdsk, а на самом деле повреждал файловую систему зараженного узла.

Программа установки загрузчика не инициирует перезагрузку зараженной системы, как это наблюдалось в прошлых вторжениях, таких как BadRabbit и NotPetya. Отсутствие принудительной перезагрузки позволяет предположить, что атакующий предпринял другие шаги для ее инициирования (например, с помощью другого implant-a) или решил позволить пользователям выполнить перезагрузку самостоятельно. Отложенная перезагрузка может позволить запустить другие компоненты вторжения WhisperGate (например, File Wiper).


Оценка


Вредоносная программа-загрузчик WhisperGate дополняет своего "напарника" File Wiper. Обе программы направлены на безвозвратное повреждение данных зараженных узлов, и пытаются маскироваться под современные операции вымогателей. Однако загрузчик WhisperGate не имеет в себе механизма расшифровки или восстановления данных, а также отличается от вредоносных ПО, обычно используемым в действиях ransomware.

Отображаемое сообщение предполагает, что жертвы могут рассчитывать на восстановление своих данных, но это технически невозможно. Эти несоответствия с большой вероятностью указывают на то, что деятельность WhisperGate направлена на уничтожение данных на пораженных ресурсах. Хотя эта оценка сделана с долей предположения, поскольку технический анализ WhisperGate все еще продолжается.

Эта активность напоминает разрушительную вредоносную программу NotPetya от VOODOO BEAR, которая включала компонент, выдававший себя за легитимную утилиту chkdsk и повреждавший Master File Table (MFT) зараженного узла — критически важный компонент файловой системы NTFS от Microsoft. Однако загрузчик WhisperGate менее сложен, и в настоящее время в нем не удалось выявить технического совпадения с операциями VOODOO BEAR.


Актуальные разведанные о WhisperGate, представленные командой CrowdStrike, являются информацией, основанной на высококачественных данных из нескольких источников. И хотя высокая степень уверенности в качестве исходной информации не означает, что эта оценка является неоспоримым суждением, киберразведка CrowdStrike способна дать понимание мотивов, целей и планов злоумышленника. Именно это позволяет принимать более быстрые и обоснованные решения в сфере безопасности и менять свое реактивное поведение на проактивное.

Узнать больше о решениях от CrowdStrike.


iIT Distribution – официальный дистрибьютор решений компании CrowdStrike. Наши партнеры, клиенты и организации любого масштаба могут получить доступ к высокоэффективным продуктам от CrowdStrike, запросив пробную версию на нашем сайте.

Назад

CrowdStrike Services выпускает Incident Response Tracker для специалистов DFIR (Digital Forensics and Incident Response)

Релиз

CrowdStrike Services представляет трекер, предназначенный для помощи сообществу специалистов по цифровой криминалистике и реагированию на инциденты (DFIR – Digital Forensics and Incident Response).


CrowdStrike Incident Response Tracker – это удобная электронная таблица, содержащая вкладки для документирования индикаторов компрометации, учетных записей, которые были затронуты, а также скомпрометированных систем и хронологии значимых событий.

• Группы реагирования на инциденты CrowdStrike использовали этот тип трекера в ходе тысячи расследований.

• Скачайте образец CrowdStrike Incident Response Tracker прямо сейчас.


Во время недавнего взаимодействия с пользователем решений CrowdStrike, в ходе проведения тестирования по методу TTX (Tabletop Exercise — метод обучения, основанный на моделировании инцидента) стало очевидно, что он не использует методологию отслеживания показателей и построения временной шкалы инцидентов. Команда CrowdStrike Services хотела предоставить заказчику больше информации о том, как можно и нужно отслеживать инциденты, но в открытом доступе ничего не было. Чтобы устранить этот пробел, компания выпустила электронную таблицу CrowdStrike Incident Response Tracker, которая состоит из нескольких вкладок для структурированной и многократной записи событий различных классов, связанных с инцидентами.


Команды цифровой криминалистики и реагирования на инциденты (DFIR) обычно занимаются проведением сложных технических расследований, включающих получение и просмотр образов системы, снимков памяти, журналов и других источников данных. Это приводит к появлению огромного количества улик, задач и технических заключений по многим направлениям расследования.


Хотя эффективное реагирование зависит от многих гармонично взаимодействующих факторов, точная регистрация и передача результатов расследования, пожалуй, наиболее важны. Один из способов сделать это - использовать структурированный трекер реагирования на инциденты во время каждого расследования, который можно применять в процессе консолидации и передачи соответствующей информации в повторяющемся виде.


Обзор CrowdStrike IR Tracker

Преимущество использования такого инструмента, как CrowdStrike IR Tracker, заключается в том, что он обеспечивает единое пространство для обобщения ключевой информации об инциденте, включая:

• Сводную хронологию инцидента, которая является основой для его описания;
• Индикаторы инцидента (например, IP-адреса, доменные имена, имена/хэши вредоносных программ, записи в реестре и т. д.);
• Данные о пораженных учетных записях и системах, представляющих интерес;
• Метаданные инцидента, такие как ключевые контакты, детали встреч, собранные доказательства, а также связанные с инцидентом запросы и задачи.


В частности, CrowdStrike IR Tracker состоит из следующих вкладок:

  • Investigation Notes: Раздел c данными о применении инструментов фиксации и отслеживания информации о инциденте: тикеты в поддержку, детали конференц-зала и телемоста и т. д.
  • Contact Info: Контактная информация внешних и внутренних сотрудников, ответственных за реагирование на инциденты.
  • Timeline: Хронология действий злоумышленника, связанных с событием.
  • Systems: Системы, доступ к которым был получен или скомпрометирован субъектом (субъектами) угрозы.
  • Accounts: Учетные записи, подвергшиеся воздействию или скомпрометированные субъектом (субъектами) угрозы.
  • Host Indicators: Имена файлов, пути к каталогам, криптографические хэши, записи реестра и т.д., представляющие интерес для расследования.
  • Network Indicators: Внешние IP-адреса, URL-адреса, имена доменов, строки User-Agent и т.д., представляющие интерес для расследования.
  • Request and Task Tracker: Область для отслеживания запросов и задач, связанных с инцидентом.
  • Evidence Tracker: Область для отслеживания доказательств, собранных в ходе расследования.
  • Forensic Keywords: Ключевые слова по конкретному инциденту для облегчения
  • Investigative Queries: Запросы для SIEM, корреляции журналов и следственных платформ для облегчения анализа инцидентов.


С обзором трех наиболее активно используемых и наилучших, по мнению команды CrowdStrike, вкладок IR Tracker вы можете ознакомиться здесь.


Благодаря сводной и упорядоченной информации команда CrowdStrike может сосредоточиться на оказании помощи организации в выявлении воздействия угроз на бизнес-активы и, совместно с юристом, установить любые нормативные требования к отчетности. CrowdStrike IR Tracker также помогает определить первопричину атак, чтобы ваша компания могла устранить уязвимости, которые привели к инциденту.


Чтобы упростить понимание инцидентов, CrowdStrike часто составляет диаграммы атак или графические временные шкалы во вкладке "Timeline". Компания создает их для краткого разъяснения инцидентов для клиентов, которые столкнулись с обширными утечками данных в сотнях систем или в течение нескольких лет.


Наконец, рекомендуется использовать онлайн-технологии совместной работы с электронными таблицами, например, Office 365 или Google Sheets. Эти инструменты обеспечивают эффективное взаимодействие между различными пользователями для одновременного обновления онлайн-документа, что сводит к минимуму риск возникновения проблем с версией. Данные также обновляются практически в режиме реального времени, что помогает командам продуктивно взаимодействовать. А некоторые из повторяющихся задач по копированию и вставке можно автоматизировать с помощью сценариев, предоставляемых технологией совместной работы.


Сам по себе CrowdStrike IR Tracker — не панацея от всех «болезней» процесса IR, а скорее инструмент, который при правильном использовании может значительно повысить эффективность сотрудничества между отдельными лицами и командами. Как и все инструменты, он должен использоваться правильно, и одним из ключевых постулатов команды CrowdStrike IR является "гигиена трекера". Мы знаем, что если трекер CrowdStrike IR не актуализируется то результаты будут низкими. Трекер способен принести реальную пользу, но она может быть получена только благодаря усилиям, прилагаемым ВСЕМИ членами команды, РЕГУЛЯРНО. Поддержание системы отслеживания инцидентов требует работы и дисциплины, но мы уверены, что это стоит затраченных сил.


CrowdStrike делится шаблоном CrowdStrike Incident Response Tracker Template, чтобы дать сообществу DFIR отправную точку для сбора и записи артефактов инцидента в консолидированной и организованной форме. Мы надеемся, что этот ресурс станет полезной основой для развития вашей собственной организации или в тех случаях, когда IR-трекер необходим в кратчайшие сроки.

Узнать про другие решения от CrowdStrike.


Напомним, что iIT Distribution является официальным дистрибьютором компании CrowdStrike, который обеспечивает дистрибуцию и продвижение решений на территории Украины, Казахстана, Узбекистана и Грузии, а также профессиональную поддержку в их проектировке и внедрении. Мы всегда обеспечиваем необходимый уровень информационной поддержки нашим партнерам и заказчикам по каждому продукту и готовы предоставить консультации по любым вопросам, связанными с повышением эффективности функционирования вашей IT-инфраструктуры и ее защиты.

Назад

Эксплойт noPac: Новая уязвимость Microsoft AD может привести к полной компрометации домена за считанные секунды

Новость

Что случилось?

Недавно компания Microsoft обнародовала два критических CVE, связанных с Active Directory (CVE-2021-42278 и CVE-2021-42287), которые при их комбинированном использовании атакующим могут привести к повышению привилегий и, как следствие, — к компрометации домена.

В середине декабря 2021 был обнаружен эксплойт, объединяющий эти два дефекта в Microsoft Active Directory (называемый также "noPac"). Он позволял злоумышленнику повысить привилегии обычного пользователя домена до администратора, что давало возможность осуществить множество атак, таких как овладение доменом или ransomware.

Это вызывает серьезную обеспокоенность, поскольку данный эксплойт был подтвержден многими исследователями как эксплойт, не требующий значительных усилий для его эксплуатации и оказывающий поистине критическое воздействие. Исследователи из Secureworks продемонстрировали, как можно использовать эти уязвимости Active Directory для получения привилегированных прав доступа к домену всего за 16 секунд. Да, вы все правильно поняли — взломанный домен за четверть минуты!


Последствия и реакция Microsoft

К этим уязвимостям нельзя относиться несерьезно, поскольку теперь существует общедоступный эксплойт, позволяющий захватить домен без особых усилий (с использованием лишь стандартной конфигурации). Захват привилегий домена позволяет субъектам угроз получить контроль над ним и использовать его в качестве отправной точки для развертывания вредоносного ПО, включая ransomware. Это один из самых серьезных эксплойтов, обнаруженных за последние 12 месяцев, но он был менее обсуждаем, частично из-за повышенного внимания к уязвимости Log4j. Microsoft охарактеризовала последнюю CVE как "менее вероятную" угрозу безопасности, хотя эксплойты на тот момент уже были обнародованы.

Тем не менее в связи с критичностью обнаруженных ошибок Microsoft опубликовала руководство для пользователей, содержащее инструкции о том, что им необходимо сделать, чтобы снизить вероятность компрометации с помощью этого публичного эксплойта.


Среди рекомендаций:

  • Убедиться, что все контроллеры домена (DCs) "пропатчены". Если хотя бы один из них останется неисправленным, это будет означать, что весь домен по-прежнему уязвим. Исправление контроллера домена не является тривиальной задачей, учитывая его критически важные свойства.
  • Выполнить ручной поиск подозрительных событий, а затем использовать эти события в качестве отправной точки для дальнейшего ручного расследования. Мало того, что нужно будет выполнить ручной поиск, так еще и необходимо будет вручную указать все названия контроллера домена. Опять же, любая ошибка, допущенная вручную, может привести к упущению зацепок в поиске.


Что это значит для пользователей Falcon?

Пользователи CrowdStrike Falcon Identity Protection могут автоматически обнаруживать попытки использования этих уязвимостей - даже если у них не было возможности применить исправления к контроллеру домена Active Directory. Это стало возможным благодаря недавно выпущенному расширению от CrowdStrike, которое позволяет автоматически детектировать использование CVE-2021-42278 и CVE-2021-42287 (также известных как "noPac"), оповещая о любых попытках их использования. CrowdStrike понимает, что командам безопасности и без того приходится весьма нелегко, поэтому производители позаботились о том, чтобы процесс обнаружения не требовал дополнительной ручной настройки со стороны клиентов.

В дополнение к вышеупомянутой функции выявления, Falcon Identity Protection может блокировать noPac с помощью простой политики, обеспечивающей многофакторную аутентификацию (MFA) для пользователей, вне зависимости от факта обнаружения. Таким образом, юзеры, которые защищены политикамиFalcon Identity Protection находятся в безопасности.


Это не первый случай, когда пользователи Falcon Identity Protection получают надежную защиту от обнаруженных уязвимостей в Microsoft Active Directory.

В январе 2021 года была обнаружена уязвимость MSRPC Printer Spooler Relay (CVE-2021-1678), потребовавшая от пользователей немедленного внесения исправлений. И в этом случае недостаточно было просто "пропатчить" свою инфраструктуру - требовалась дополнительная настройка Falcon Identity Protection также покрыл эту уязвимость, обнаружив аномалии NTLM и и атаки NTLMrelayа.

Атака Bronze Bit (CVE-2020-17049) — еще один пример уязвимости, которую заметили более года назад. Решение данной проблемы со стороны Microsoft заключалось в том, чтобы попросить пользователей немедленно "пропатчить" контроллеры домена. И в то время, как пользователи Falcon Identity Protection уже имели все необходимые средства для выявления, Microsoft до сих пор медлят с запланированным выпуском инструментов обнаружения CVE-2020-17049.

Существуют и другие уязвимости, такие как Zerologon (CVE-2020-1472), которые ежегодно находят в Microsoft Active Directory, а также постоянные проблемы с компрометацией supply chain Microsoft AD.


Вероятно, в будущем мы не перестанем наблюдать новые уязвимости. Вопрос заключается лишь в том, насколько хорошо защищена ваша организация, прежде чем вы сможете создать патч в своей среде и убедиться, что при этом больше ничего не нарушено. Как видно из приведенных выше примеров, пользователи Falcon Identity Protection защищены не только специальными средствами обнаружения, но и возможностью применения политики Zero Trust для предотвращения кражи учетных данных и эксплуатации в домене.


Вывод

Эта уязвимость еще раз демонстрирует прямую взаимосвязь между идентификацией (identity) и программами-вымогателями. Установка патчей и изменение конфигурации может занять большое количество времени, особенно при наличии нескольких уязвимостей одновременно (например, Log4j). CrowdStrike на постоянной основе обеспечивает бесперебойную безопасность и защиту своих клиентов для того, чтобы они имели возможность свободно приоритизировать свою работу в соответствии с бизнес-планом.

Узнайте больше о решениях от CrowdStrike.


iIT Distribution предлагает компаниям наилучшие решения для защиты и повышения эффективности своих ИТ-инфраструктур. Мы практикуем комплексный подход, при котором клиент получает необходимое ПО, техническое оборудование, а также услуги по внедрению и продвижению.

Назад

Как CrowdStrike защищает клиентов от угроз, связанных с Log4Shell

Релиз
  • Log4Shell, новейшая критическая уязвимость, найденная в библиотеке Log4j2 Apache Logging Services, представляет серьезную угрозу для организаций.
  • Активні спроби використати вразливість в реальних умовах робить цю вразливість найбільш серйозною загрозою на сьогодні
  • CrowdStrike використовує індикатори атак (IOA) і машинне навчання для захисту своїх клієнтів
  • CrowdStrike продовжує стежити за еволюцією Log4Shell, а також впроваджувати та оновлювати всі контрзаходи, необхідні для захисту клієнтів
  • Организациям, использующим Log4j2, настоятельно рекомендуется обновить библиотеку до последней версии Log4j2 (2.16.0), опубликованной 14 декабря 2021 г.
  • Наразі нема потреби в оновленні клієнта CrowdStrike Falcon, або додаткових дій для зменшення наслідків вразливості. Для отримання додаткової інформації клієнти можуть відвідати нашу базу знань.


Останні висновки команди CrowdStrike Intelligence щодо Log4Shell (CVE-2021-44228, CVE-2021-45046) свідчать про широкомасштабний вплив цього типу вразливостей. CrowdStrike допомагає захистити клієнтів від загроз, які виникають внаслідок цієї вразливості, використовуючи такі засоби як машинне навчання, та індикатори атаки (IOA).

Log4Shell — це вразливість у поширеній бібліотеці Java, яка широко використовується всюди: від онлайн-ігор до хмарної інфраструктури. CrowdStrike Falcon OverWatch™ помітив активні та постійні спроби використати вразливість. Фінансово мотивовані зловмисники почали швидко використовувати загальнодоступний експлоіт для розгортання на вразливих цільових системах шкідливих програм, використовуючи майнери XMRig, код зворотньої оболонки (reverse shell), троянські програми віддаленого доступу та ботнети.

CrowdStrike використовує різні механізми для захисту клієнтів від зловмисного ПЗ, яке використовує вразливість Log4j2. З моменту виявлення CVE-2021-44228 засоби машинного навчання та IOA CrowdStrike Falcon запобігають діяльності зловмисників.

CrowdStrike продолжает активно следить за эволюцией Log4Shell и будет применять контрмеры, необходимые для защиты клиентов от злонамеренной активности, возникшей в результате использования уязвимостей Log4j2.


Вплив вразливості та зловживання, які з нею пов’язані

Log4j2 — це бібліотека з відкритим вихідним кодом і є частиною сервісів Apache Logging Services, яка написана на Java і використовується на різних платформах, таких як Elasticsearch, Flink і Kafka. Оскільки Java є міжплатформним фреймворком, уразливість Log4j2 не обмежується лише додатками, які працюють на певній операційній системі.

Без належного запобігання загроз або встановлення виправлень, зловмисники можуть використовувати вразливість для розгортання шкідливого програмного забезпечення, виконання коду зворотньої оболонки (reverse shells) та інших дій у системах, які було скомпрометовано.

За даними CrowdStrike Intelligence, зловмисники почали проводити активне сканування та спроби використання, спрямовані на вразливі системи та служби, незалежно від операційної системи.

Оскільки Linux відіграє важливу роль у хмарних інфраструктурах, звіти про корисні навантаження, які виконуються за допомогою вразливості Log4j2, показали, що ботнети — такі як Mirai та Muhstik — почали атакувати пристрої всього через кілька днів після того, як вразливість стала загальнодоступною.

Галузеві звіти свідчать також і про інші загрози, спрямовані на операційні системи та фреймворки, вразливі до експлуатації Log4j2, а також сервіси навантажень такі як Cobalt Strike та Metasploit, які розгортаються у спробі створити плацдарм у цільовому середовищі.


Як клієнти можуть використовувати Falcon для полювання на Log4j2

Модуль Log4j2 постачається разом з великою кількістю програмних пакетів сторонніх розробників. З цієї причини полювання на Log4j2 буде не таким простим, як пошук його виконуваного файлу, його хешу SHA256 або шляху до файлу. Клієнти CrowdStrike Falcon можуть використовувати готові інформаційні панелі для всіх підтримуваних операційних систем, щоб виявити активне використання вразливості Log4j2 у своєму середовищі.

Кроме информационных панелей, клиенты могут использовать телеметрию датчика Falcon и искать использование Log4j2 способами, соответствующими тому, как разработчики могут использовать его в своих приложениях. Вот запрос Falcon Insight™ для поиска использования Log4j2:

event_simpleName IN (ProcessRollup2, SyntheticProcessRollup2, JarFileWritten, NewExecutableWritten, PeFileWritten, ElfFileWritten)
| search *log4j*
| eval falconEvents=case(event_simpleName="ProcessRollup2", "Process Execution", event_simpleName="SyntheticProcessRollup2", "Process Execution", event_simpleName="JarFileWritten", "JAR File Write", event_simpleName="NewExecutableWritten", "EXE File Write", event_simpleName="PeFileWritten", "EXE File Write", event_simpleName=ElfFileWritten, "ELF File Write")
| fillnull value="-"
| stats dc(falconEvents) as totalEvents, values(falconEvents) as falconEvents, values(ImageFileName) as fileName, values(CommandLine) as cmdLine by aid, ProductType
| eval productType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, productType, Version, AgentVersion, totalEvents, falconEvents, fileName, cmdLine
| sort +productType, +ComputerName

Вот еще один запрос, который ищет попытки эксплуатации Log4j2:

 search index=main event_simpleName=Script* cid=* ComputerName=*
| eval ExploitStringPresent = if(match(ScriptContent,"(env|jndi|ldap|rmi|ldaps|dns|corba|iiop|nis|nds)"),1,0)
| search ExploitStringPresent = 1
| rex field=ScriptContent "(?i)(?<ExploitString>.*j'?\}?(?:\$\{[^}]+:['-]?)?n'?\}?(?:\$\{[^}]+:['-]?)?d'?\}?(?:\$\{[^}]+:['-]?)?i'?\}?(?:\$\{[^}]+:['-]?)?:'?\}?[^/]+)"
| eval HostType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| stats count by aid, ComputerName, HostType, ExploitString
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, HostType, Version, AgentVersion ExploitString
| rename ComputerName as "Computer Name", HostType as "Device Type", Version as "OS Version", AgentVersion as "Agent Version", ExploitString as "Exploit String"
| search "Exploit String"="***"

CrowdStrike защищает клиентов с помощью машинного обучения и индикаторов атаки


Меры предосторожности CrowdStrike Falcon направлены на применение тактик и приемов, которые используются противниками и тестировщиками, а не на их конкретные действия. CrowdStrike Falcon обеспечивает защиту от вредоносных угроз по разным направлениям, используя машинное обучение и IOA для отслеживания поведения вредоносных процессов или сценариев на конечной точке даже при работе с новыми угрозами.

Унікальним внеском машинного навчання є те, що воно може ідентифікувати як відоме, так і нове зловмисне програмне забезпечення або загрози, аналізуючи зловмисні наміри на основі атрибутів файлу. Клієнт CrowdStrike Falcon використовує як хмарне, так і локальне машинне навчання на платформах Windows, Linux і macOS для виявлення та запобігання загрозам, які зараз розгортаються зловмисниками з використанням вразливості Log4j2, і він дуже ефективний у захисті від різноманітних типів шкідливих програм, таких як програми-вимагачі, майнери, трояни та ботнети.

Рисунок 1. Снимок экрана, на котором Falcon ML успешно предотвращает вредоносную деятельность, связанную с Log4j2

На рисунке 1 показано успешное использование Falcon ML після запуску зловмисниками шкідливої діяльності з використанням вразливості Log4j2. Як ми бачимо, процес bash під Java відповідає за використання утиліт wget і cURL для завантаження корисного навантаження першого етапу, позначеного AAA, розгортанню якого успішно запобігає локальне машинне навчання Falcon. Варто зазначити, що машинне навчання Falcon проактивно звітувало про зловмисну діяльність ще до оголошення про вразливість Log4j2.

Кроме защиты с помощью машинного обучения, на скриншоте также показано, как команда Falcon OverWatch обнаруживает и посылает уведомления о вредоносном процессе bash под Java, что является примером многоуровневого подхода, используемого CrowdStrike для защиты наших клиентов.

IOA є важливою частиною стратегії, яку використовує Falcon, коли справа доходить до виявлення загроз, включаючи нещодавно розгорнуті зловмисниками з використанням вразливості Log4j2. Цей підхід базується на виявленні наміру який має зловмисник, незалежно від шкідливого програмного забезпечення, яке використаного в атаці.

Наприклад, CrowdStrike Falcon зміг запобігти множинним розгорнутим загрозам за допомогою існуючого IOA. Спостерігаючи та зосереджуючись на серії дій і тактик, які намагаються здійснити противники, CrowdStrike Falcon може успішно виявляти та блокувати нові та невідомі загрози, які демонструють подібну поведінку.

Рисунок 2. Снимок экрана, демонстрирующий, как Falcon IOA успешно предотвращает злонамеренную деятельность, связанную с Log4j2


На зображенні 2 показано, як Falcon IOA успішно запобігає та нейтралізує шкідливу діяльність до того, як процес зміг запустити зловмисний код. Як наслідок, — жодної подальшої зловмисної діяльності після експлуатації на кінцевій точці не відбулося. Оскільки IOA можуть залучатися динамічно і не вимагають оновлення клієнтської частини, команда CrowdStrike Content Research & Response змогла випустити понад два десятки нових IOA протягом кількох годин після виявлення вразливості, покращуючи наявне покриття Falcon проти дій, пов'язаних з експлуатацією Log4j2.

Незалежно від того, чи використовується Windows, Linux чи macOS, CrowdStrike Falcon застосовує засоби виявлення поведінки, машинного навчання та розширеного запобігання зловмисній діяльності, щоб захистити клієнтів і зупинити порушення.


РЕКОМЕНДАЦИИ

  • Организациям, использующим Log4j2, настоятельно рекомендуется обновить библиотеку до последней версии Log4j2 (2.16.0), опубликованной 14 декабря 2021 г.
  • Проверьте всю инфраструктуру, приложения и цепочку поставки программного обеспечения для обнаружения зависимостей от фреймворка журнала Apache Log4j2
  • Убедитесь, что ваши политики предотвращения CrowdStrike Falcon настроены в соответствии с наилучшими практиками
  • Визначайте важливі програми/послуги та залишайтеся в курсі рекомендацій постачальників, щоб стежити за розвитком ситуації

Примітка. Клієнти CrowdStrike Falcon можуть звернутися до нашого порталу підтримки клієнтів, щоб отримати детальні інструкції щодо того, як виявити та пом’якшити системи, уразливі до Log4j2/Log4Shell.


Больше о компании CrowdStrike и о ее решениях

Менеджеры iIT Distribution помогут вам с любыми вопросами о внедрении решений безопасносты CrowdStrike. Ведь именно мы официально обеспечиваем их внедрение на территории Украины, Казахстана, Узбекистана и Грузии.

Назад

Що таке SCAR і якими технологіями керуються мисливці на загрози з команди Falcon OverWatch?

Релиз

CrowdStrike Falcon OverWatch — це служба полювання на загрози, що включає в себе найкращих та найпрофесійніших аналітиків галузі, які борються із сучасними досвідченими зловмисниками. Але хоч люди й лишаються важливим компонентом забезпечення успіху OverWatch, діяльність мисливців на загрози також підтримується кращими у своєму класі технологіями, які дозволяють їм працювати з максимальною ефективністю.

Ці технології були створені не випадково. Група фахівців з команди OverWatch взяли на себе місію озброїти мисливців на загрози технологіями та інструментами, які необхідні їм для зупинки зловмисних суб’єктів на їхньому шляху. Ця група новаторів складає команду Стратегічних Досліджень Протидії, відомої як SCAR (Strategic Counter Adversarial Research).


Особиста Команда технічного супроводу OverWatch

Якби OverWatch були гоночною командою, SCAR був би PIT. Місія SCAR полягає в тому, щоб забезпечити постійну роботу OverWatch на максимумі продуктивності.

Подібно до того, як піт-команда завжди прагне модифікувати автомобіль для перегонів, щоб забезпечити його максимальну продуктивність для гонщика, дослідники SCAR втілюють інновації та вдосконалюють технології, які є основою для виявлення загроз OverWatch. Щоб розширити потенціал компанії, цілеспрямовано втілюючи інновацій та створюючи нові технології, OverWatch надає своїм мисливцям доступ до найкращих у своєму класі інструментів. Це дозволяє їм працювати на найвищому рівні.

«Тип діяльності, який ми спостерігаємо в OverWatch не може бути просто переданий машині, адже на іншому кінці клавіатури знаходиться людина», — пояснює Девід Зауді, головний дослідник безпеки в OverWatch SCAR.

Завданням OverWatch є пошук активностей, навмисно здійснених для того, щоб ухилитися від технології автоматичної виявлення, тому дуже важливо, щоб мисливці на загрози OverWatch отримували усі необхідні ресурси для швидкого та ефективного полювання. Запатентовані робочі процеси та інструменти, доступні аналітикам OverWatch, дозволяють їм вести пошук в усій базі клієнтів CrowdStrike одночасно та попереджувати клієнтів про шкідливу активність за секунди.

Читать больше о Falcon OverWatch


Вдосконалення технологій, необхідних мисливцям на загрози

Дослідники SCAR щоденно працюють над вдосконаленням поточних технологічних процесів OverWatch, одночасно з цим досліджують та розроблюють нові інструменти, які будуть необхідні для упередження майбутніх атак. Вони постійно споглядають за теперішнім і дивляться в майбутнє.

«Дослідники SCAR дивляться в майбутнє та обмірковують способи протистояння потенційним загрозам. У якому напрямі загроза буде рухатися? Що знадобиться OverWatch, щоб зупинити її?», », - каже Хоган.

Проводячи практичні дослідження, не обмежені специфічними технологіями, дослідники SCAR працюють над створенням нових методів виявлення зловмисників та інструментарію для оптимізації робочих процесів аналітиків щоб дозволити мисливцям на загрози OverWatch працювати розумніше, а не важче. Ця робота включає зворотну шкідливого програмного забезпечення для того, щоб дізнатися більше про його нюанси і створити кращі засоби запобігання. Це необхідно для створення прототипів нових можливостей полювання, щоб перевірити, чи відповідають вони високим стандартам, встановленим організацією пошуку зловмисників.

Крім того, дослідники SCAR взаємодіють з усіма командами компанії CrowdStrike на міжнародному рівні. Оскільки в CrowdStrike працюють тисячі співробітників, процес кооперування не є легким. Проте міжвідомче співробітництво має вирішальне значення в досягненні успішного функціонування OverWatch і CrowdStrike в цілому. SCAR стежать за тим, щоб продукти та сервіси, які розроблює CrowdStrike, доповнювали робочі процеси та інструменти, які мисливці на загрози OverWatch використовують щоденно. Це зміцнює здатність CrowdStrike надавати чудове обслуговування клієнтам та зрештою, зупиняти порушення.

«Ми допомагаємо визначати пріоритети ініціатив та відстоювати потреби OverWatch – як для наших мисливців, так і для наших клієнтів», — зазначає Девід Зауді. «Це допомагає нам всім лишатися на зв’язку та виконувати нашу місію – зупиняти порушення».

Не дивлячись на те, що кожне клієнтське середовище є самостійним об’єктом, масштабування робочих процесів та інструментів OverWatch, що розроблені та підтримані SCAR, дозволяє мисливцям на загрози ефективно використовувати трильйони точок даних для отримання конкретних ознак загроз. Це дозволяє їм спостерігати за активністю в середовищі одного клієнта, а потім полювати за такою самою активністю у всій клієнтській базі одночасно.

Продумана ставка OverWatch на технологічні інновації дозволяє команді вирішувати найскладніші завдання із захисту тисяч унікальних клієнтських середовищ. Для виконання своєї мети OverWatch спирається на фундамент передових технологій. Створення і підтримка цієї технологічної основи – це та цінність, яку SCAR надає не лише OverWatch та CrowdStrike, а й щоденно усім своїм клієнтам.


IT Distribution пропонує лише найкращі рішення безпеки. Ми є офіційним дистриб’ютором компанії CrowdStrike і забезпечуємо втілення їхніх рішень на території України, Казахстану, Грузії та Узбекистану, а також здійснюємо професійну підтримку для їх проєктування та впровадження.

Назад

Mobile Marketing
+