fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Команда CrowdStrike дослідила програму-вимагач PartyTicket, націлену на українські компанії

Реліз

23 лютого 2022 року було проведено низку руйнівних кібератак, спрямованих на українські організації. Згідно з галузевими звітами, в декількох організаціях, які безпосередньо постраждали від атаки, було виявлено Go-based програму-вимагач під назвою PartyTicket (або HermeticRansom). Разом з нею були ідентифіковані й інші сімейства шкідливих програм, включно з програмою типу Wiper, яку розвідка CrowdStrike відстежує як DriveSlayer (HermeticWiper).

Аналіз програми-вимагача PartyTicket показав, що вона реалізовує досить поверхневе шифрування файлів, неправильно ініціалізуючи ключ шифрування, що дає можливість дешифрувати зашифрований файл з відповідним розширенням .encryptedJB.


Технічний аналіз

Екземпляр програми-вимагача PartyTicket має хеш SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Було помічено, що він пов’язаний з іменами файлів cdir.exe, cname.exe, connh.exe та intpub.exe.

Екземпляр програми-вимагача, написаний за допомогою Go версії 1.10.1, містить багато символів, які посилаються на політичну систему США, включаючи voteFor403, C:/projects/403forBiden/wHiteHousE та primaryElectionProcess.

Програма-вимагач перебирає букви всіх дисків і рекурсивно перераховує файли на кожному диску та його підпапках, за винятком шляхів до файлів, які містять рядки Windows і Program Files, а також шлях до папки C:\Documents and Settings (остання папка була замінена у версіях Windows, Windows XP, на C:\Users). Для шифрування обираються файли з такими розширеннями:


acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip


Для кожного шляху до файлу, який проходить раніше описані перевірки, ransomware копіює власний екземпляр у той самий каталог, з якого він був запущений, і запускає його через командний рядок, передаючи шлях до файлу як аргумент. Батьківський процес ransomware присвоює імена своїм клонам за допомогою випадкового UUID, створеного загальнодоступною бібліотекою, яка використовує поточну мітку часу та MAC-адреси мережевих адаптерів зараженого хоста.

Розробник шкідливої програми намагався використовувати типи WaitGroup мови Go для реалізації багатопотоковості, але через ймовірну помилку в кодуванні програма створює велику кількість потоків (по одному на перерахований шлях до файлу) і копіює власний двійковий файл в поточний каталог стільки разів, скільки було вибрано файлів. Після завершення всіх потоків шифрування вихідний двійковий файл видаляє себе через командний рядок.

Коли екземпляр отримує шлях до файлу як аргумент, він шифрує його за допомогою AES в режимі Galois/Counter (GCM). Ключ AES генерується за допомогою функції Intn пакета Go rand для вибору зміщення в масиві символів 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, генеруючи 32-байтовий ключ. Через ймовірну помилку в кодуванні затравка для функції Intn оновилася після генерації ключа, тобто при кожному запуску бінарного файлу та його клонів генерується один і той же ключ AES. Усі файли, зашифровані на хості, шифруються тим самим ключем, і знання ключа відповідного екземпляра PartyTicket дозволяє розшифрувати їх. Сценарій, який використовує цей недолік для відновлення зашифрованих файлів, доступний у Git-репозиторії CrowdStrike.

Для кожного файлу ключ шифрування AES сам шифрується за допомогою RSA-OAEP використовуючи відкритий ключ RSA, який має такі параметри:

Modulus (N): 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
Exponent (E): 0x10001


Перед шифруванням програма-вимагач перейменовує файл у форматі <original file name>.[[email protected][.]com].encryptedJB ("JB", ймовірно, означає ініціали президента США Джозефа Байдена, враховуючи політичний зміст бінарного файлу). Потім програма-вимагач перезаписує вміст зашифрованими даними. PartyTicket шифрує лише перші 9437184 байта (9,44 МБ) файлу. Якщо розмір файлу, переданого як аргумент, більший за ліміт, всі дані, що перевищують обмеження, залишаються незашифрованими. Після шифрування вмісту файлу PartyTicket додає до кінця файлу ключ AES, зашифрований за допомогою RSA .

Перед початком шифрування програма пише викупну HTML-нотатку в каталог робочого столу користувача з назвою read_me.html (рисунок 1). Якщо це не навмисні помилки, граматичні конструкції в нотатці свідчать про те, що вона, ймовірно, не була написана або вичитана людиною, яка вільно володіє англійською.

Рисунок 1. Викупна записка


Аналіз

Спочатку аналітична служба CrowdStrike не приписувала діяльність програми PartyTicket конкретному зловмиснику.

Програма-вимагач містить помилки в реалізації, що робить її шифрування повільним та легко зламним. Цей недолік говорить про те, що автор шкідливої програми або не мав досвіду написання мовою Go, або доклав замало зусиль для її тестування, можливо через обмежений час розробки. Зокрема, PartyTicket не такий досконалий, як DriveSlayer, який реалізує низькорівневу схему аналізу NTFS. Відносна незрілість та політична спрямованість цієї програми-вимагача, час її розгортання та орієнтація на українські організації дозволяють припустити, що вона використовується як додаткове корисне навантаження до DriveSlayer, а не як стандартна програма-вимагач.


Сигнатури YARA

Для виявлення PartyTicket можна використати наступне правило YARA:


Сценарій для розшифровування файлів

Через вище описані помилки в генерації ключа AES, використовуваного PartyTicket в процесі шифрування, його можна розшифрувати. Наведений нижче скрипт Go розшифровує файли, зашифровані екземпляром PartyTicket 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Скрипт приймає файл для розшифровування як аргумент через flag "-p" і зберігає розшифрований результат у "decrypted.bin" у тому ж каталозі. Сценарій може бути створений у вигляді файлу, запущеного за допомогою пакета Go run; він був протестований за допомогою Go версії 1.16.6.


Дізнайтеся, як захистити свою організацію від сучасних кібератак за допомогою продуктів CrowdStrike.


iIT Distribution – офіційний дистриб'ютор рішень від CrowdStrike, які дозволяють компаніям використовувати передові технології в галузі побудови безперебійного захисту своїх IT-інфраструктур. Ми тісно співпрацюємо з нашими клієнтами, надаючи повний комплекс послуг із супроводу проєктів.


Назад

CrowdStrike Falcon захищає від нового шкідливого ПЗ типу Wiper, що використовується в кібератаках проти України

Новина

CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.


23 лютого 2022 року стало відомо про появу нової шкідливої wiper-програми, яка вразила українські системи. Після серії атак типу "denial-of-service" та зламу низки українських вебсайтів нова шкідлива програма порушила роботу головного завантажувального запису (MBR), а також розділів та файлової системи всіх доступних фізичних дисків на машинах Windows.

Розвідка CrowdStrike дала назву цьому новому руйнівному ПЗ — DriveSlayer, і це вже друга програма типу Wiper, яка вразила Україну у розрізі недавніх атак з використанням шкідливої програми WhisperGate. DriveSlayer має цифровий підпис із використанням чинного сертифіката. Це програмне забезпечення зловживає легітимним драйвером EaseUS Partition Master для отримання доступу до диска та управління ним з метою приведення системи в непрацездатний стан.


Платформа CrowdStrike Falcon здатна забезпечити надійний та безперервний захист від DriveSlayer та загроз типу wiper, надаючи можливість відстежувати робочі навантаження в реальному часі для захисту клієнтів.

Перевірте ефективність рішення від CrowdStrike особисто, надіславши нам запит на тестування високоефективної платформи Falcon.


Технічний аналіз

На відміну від WhisperGate, який використовує високорівневі запити API, DriveSlayer використовує безпосередній доступ до диска для знищення даних.

При ініціалізації два додаткові параметри командного рядка можуть бути використані для вказівки часу сну шкідливої програми перед початком процесу знищення та перезавантаженням системи. Якщо вони не вказані, то за замовчуванням буде встановлено значення 20 і 35 хвилин.

Далі шкідлива програма переконується в тому, що вона має відповідні привілеї для виконання своїх руйнівних дій. Вона використовує API AdjustTokenPrivileges для присвоєння наступних привілеїв: SeShutdownPrivilege, SeBackupPrivilege і SeLoadDriverPrivilege.

Назва привілею Опис
SeShutdownPrivilege Забезпечує можливість вимкнення локальної системи
SeBackupPrivilege Забезпечує можливість виконання операцій системного резервного копіювання
SeLoadDriverPrivilege Забезпечує можливість завантаження чи вивантаження драйверів пристрою


Різноманітні драйвери будуть завантажуватися залежно від версії системи. Шкідлива програма використовує IsWow64Process для визначення версії завантажуваного драйвера. Ці драйвери зберігаються в секції ресурсів двійкового файлу та стискаються за допомогою алгоритму Lempel-Ziv. Файл драйвера записується в system32\drivers з 4-символьним, псевдовипадково згенерованим ім’ям. Після чого, цей файл розпаковується за допомогою LZCopy в новий файл з розширенням ".sys".

Приклад назви файлу Опис
C:\Windows\System32\drivers\bpdr Драйвер, стиснутий за допомогою алгоритму Лемпеля- Зіва
C:\Windows\System32\drivers\bpdr.sys Декомпресований драйвер


Перед завантаженням драйвера шкідлива програма відключає аварійний дамп, встановлюючи наступний ключ реєстру:

Реєстр Значення Опис
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Вимикає аварійний дамп

Для завантаження драйвера створюється нова служба за допомогою API CreateServiceW. Назвою та іменем, що відображається для цієї служби, є 4-символьне значення, яке використовується для імені файлу. Потім StartServiceW циклічно запускається п'ять разів, щоб переконатися, що драйвер завантажено. Відразу після завантаження драйвера служба знищується шляхом видалення всього ключа реєстру.

Після завершення завантаження драйвера служба VSS вимикається за допомогою диспетчера служб керування. Потім утворюється кілька додаткових потоків. Один із потоків створюється з метою обробки перезавантаження системи. Він перебуватиме в режимі сну протягом часу, вказаного параметром командного рядка, що дорівнює 35 хвилин, після чого система буде перезавантажена викликом API InitializeSystemShutdownExW.

Інший потік вимикає функції інтерфейсу користувача, які можуть попередити користувача про підозрілі активності, що відбувається в системі, перед ітерацією підключених дисків.

Реєстр Значення Опис
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowCompColor
0 Відключення кольорів для стиснених та зашифрованих файлів NTFS
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowInfoTip
0 Відключення спливаючих сповіщень про папки та елементи робочого столу


Нарешті, шкідлива програма починає свою руйнівну роботу, породжуючи безліч додаткових потоків, які перезаписують файли на диску та знищують таблиці розділів. Після перезавантаження системи користувач побачить порожній екран із написом "Операційна система відсутня".


Безперервний моніторинг і видимість платформи Falcon зупиняють руйнівний вплив DriveSlayer

Платформа Falcon використовує багаторівневий підхід захисту робочих навантажень. Використовуючи on-sensor та cloud-based машинне навчання, behavior-based виявлення з використанням індикаторів атак (IOA) та розвіддані про тактики, методи та процедури (TTP), що застосовуються суб'єктами загроз, платформа Falcon забезпечує видимість, виявлення та безперервний моніторинг для будь-якого середовища, скорочуючи час на пошук та усунення загроз.

Як проілюстровано на рисунку 1, Falcon використовує хмарне машинне навчання для виявлення DriveSlayer і запобігання виконання програмою шкідливих дій, таких як завантаження додаткових компонентів.


Рисунок 1. Хмарне машинне навчання платформи Falcon виявляє DriveSlayer wiper


IOA платформи Falcon, засновані на поведінкових факторах, можуть виявляти та запобігати виконанню підозрілих процесів або завантаженню додаткових компонентів, а також інші види шкідливої поведінки. Наприклад, Falcon здатний визначити таку поведінку DriveSlayer, як втручання у певні ключі реєстру. Behavior-based виявлення додатково накладається традиційне виявлення хешів на основі індикаторів компрометації (IOC) (див. рисунок 2).


Рисунок 2. CrowdStrike Falcon виявляє та запобігає деструктивній діяльності DriveSlayer


DriveSlayer не має вбудованих технологій розповсюдження по інфраструктурах, а відомості про його використання в атаках на українські системи поки що обмежені. Компанія CrowdStrike і надалі стежитиме за ситуацією та повідомлятиме про те, що відбувається.

Клієнти CrowdStrike Falcon можуть здійснювати проактивний моніторинг своїх середовищ за допомогою hunting-запитів для виявлення індикаторів присутності DriveSlayer. Ознайомтеся з коротким описом DriveSlayer та способами його пошуку на порталі підтримки CrowdStrike.

iIT Distribution як офіційний дистриб'ютор рішень компанії CrowdStrike наполегливо рекомендує організаціям, що стикаються з ризиками кіберінцидентів, вжити заходів щодо підвищення своєї операційної стійкості. Рішення безпеки від CrowdStrike здатні захистити від шкідливого ПЗ та загрози знищення даних, забезпечуючи повну видимість середовища та інтелектуальний моніторинг хмарних ресурсів з метою виявлення та реагування на потенційні загрози – у тому числі руйнівні – та обмеження можливої шкоди від них.

Назад

Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate

Статті та огляди

Вочевидь, усі ми пам’ятаємо, як з 13 по 14 січня 2022 року низка державних органів України зазнала потужної кібератаки, у результаті якої постраждало 70 національних сайтів (10 з них зазнали безпосереднього втручання в бази даних). Як стало відомо незабаром після інциденту, він був викликаний системою вірусів WhisperGate набором шкідливих програм, діяльність яких спрямована на знищення даних на уражених ресурсах.


Якщо ви зволікали з цим раніше, саме час спрямувати свої сили на підбір по-справжньому ефективного рішення для детектування ризиків та захисту ваших систем. Просто зараз перегляньте відео, яке демонструє потужні можливості CrowdStrike Falcon у покроковому виявленні WhisperGate.


CrowdStrike Falcon — хмарне рішення, яке захищає кінцеві точки шляхом об'єднання антивірусу нового покоління, системи EDR (виявлення і реагування на загрози кінцевих точок) і цілодобової керованої служби пошуку загроз.

Falcon базується на штучному інтелекті (AI) і об'єднує технології, інтелект та досвід в одне просте рішення, яке надійно зупиняє будь-які загрози. Платформа за лічені хвилини забезпечує захист у реальному часі, а ефективні алгоритми штучного інтелекту дозволяють побачити результат вже з першого дня використання. Хмарна інфраструктура та архітектура усувають складність у роботі з різними додатками, забезпечують керованість та швидкість рішення.

Відкрийте для себе рішення від CrowdStrike.


Впевніться в тому, що Falcon не залишить зловмисникам жодного шансу на непомітне проникнення в вашу IT-інфраструктуру та знищення ваших даних в нашому відео.

Якщо ви обізнані – ви озброєні, підвищуйте рівень своєї кіберстійкості та знищуйте такі потужні загрози, як WhisperGate разом з CrowdStrike!

ПЕРЕГЛЯНУТИ ВІДЕО

Назад

Звіт про глобальні загрози 2022 року від CrowdStrike!

Новина

CrowdStrike назвала 2022 роком адаптації й витривалості та підготувала звіт про глобальні кіберзагрози!


Минулий рік видався непростим для воїнів фронту кібербезпеки. В умовах суспільних змін, спричинених пандемією, хакери мали можливість вдосконалити свої навички та зробити свої технології більш адаптованими, просунутими й підступними. Як наслідок, світ сколихнула низка гучних кібератак.

Операція під назвою WhisperGate в січні минулого року була направлена на низку українських організацій та державних структур: шкідливий софт, замаскований під програму-вимагача, був використаний з метою цілковитого знищення даних на уражених ресурсах. Зловмисників не цікавила грошова винагорода, як могло здатися спочатку, їх ціллю була дестабілізація суспільства. Також досить визначною є кібератака Sunburst, під час якої зловмисники скористалися zero-day вразливістю та особливостями архітектури традиційних систем (таких як Microsoft) для розповсюдження шкідливого софту. Не маючи можливості оговтатися, організації витратили колосальні ресурси, аби захисти supply chain і пов’язані з ними системи. В той самий час, суб’єкти eCrime вразили велику кількість галузей економіки в рамках big game hunting ransomware (BGH). Ці інциденти стали переломним моментом галузі кібербезпеки й привернули увагу до колосальної вразливості критичної інфраструктури до шкідливих програм.

Для служб безпеки, де давно існує проблема браку кваліфікованих кадрів, ці виклики виявилися непростими. Але навантаження зросло ще більше наприкінці року, коли вразливість Log4Shell загрожувала повним колапсом системи безпеки.


Аналіз тогорічних інцидентів дає змогу побачити мінливу динамічність тактики супротивника, що вкрай важливо для запобігання можливим загрозам. Саме такий контекст надає CrowdStrike 2022 Global Threat Report. Цей звіт розроблений на основі розвідданих від провідних фахівців CrowdStrike Intelligence та Falcon OverWatch. У поєднанні зі свідченнями, отриманими з масштабної телеметрії CrowdStrike Security Cloud, звіт містить вкрай важливі відомості, необхідні службам безпеки для розуміння характеру майбутніх загроз.


Познайомтеся зі звітом і дізнайтеся:

  • Чому фінансовані державою зловмисники націлилися на постачальників ІТ та хмарних послуг, скориставшись довірою до supply chain партнерів.
  • Яким чином терористи використали вразливості для обходу системи виявлення атак та отримання доступу до критичної інфраструктури.
  • Як досвідчені хакери застосовували викрадені облікові дані для посилення BGH, атак програм-вимагачів та проникнення в хмарні середовища.
  • Як злочинці посилили атаки на критичну хмарну інфраструктуру використовуючи нові, більш довершені підходи.


Щорічний звіт також окреслює загальну ситуацію сфери безпеки та вказує, що корпоративні ризики концентруються навколо трьох критичних областей: кінцеві точки та хмарні навантаження, ідентифікація та дані. Кіберзлочинці продовжують використовувати вразливості на кінцевих точках та в хмарних середовищах, а також шукають нові способи обходу застарілих систем захисту з єдиною метою – викрасти ваші дані.
Сьогодні, CrowdStrike прагне працювати на випередження. Оцініть нові потужні можливості розширеного виявлення та реагування (Falcon XDR), створені для захисту організацій від найтяжчих атак. Це рішення покликане допомогти перевантаженим командам служб безпеки автоматизувати реагування на загрози та скоротити час, необхідний для ідентифікації зони ураження.
2021 рік показав нам, що з якими б труднощами ми не зіткнулися, хакери не відступлять. Атаки стають більш деструктивними, викликаючи масові перебої у всіх сферах суспільного життя. Але це виклик, який ми прийняли, та боротьба, яку ми переможемо разом!


ЗАВАНТАЖИТИ CROWDSTRIKE 2022 GLOBAL THREAT REPORT


Дізнайтеся як захисти ваш бізнес від сучасних кібератак використовуючи продукти CrowdStrike.

iIT Distribution – постачальник новітніх рішень та інструментів, що дозволяють корпоративним клієнтам використовувати передові технології в галузі побудови та обслуговування IT-інфраструктури. Ми тісно співпрацюємо з нашими партнерами для задоволення потреб кінцевих замовників і надаємо повний комплекс послуг із супроводу проєктів.

Назад

Новітня розробка Falcon XDR від компанії CrowdStrike тепер доступна для користувачів!

Реліз

Ми раді повідомити про те, що нове потужне рішення CrowdStrike Falcon XDR відтепер доступне для придбання!


Засноване на передовій технології endpoint detection and response (EDR) та можливостях CrowdStrike Security Cloud, Falcon XDR пропонує користувачам уніфіковану, повноспектральну функцію Extended Detection and Response (XDR – розширене виявлення та реагування) наступного покоління, покликану допомагати командам безпеки зупиняти порушення швидше та ефективніше.


Розв'язуйте ключові проблеми виявлення та реагування за допомогою Falcon XDR


Попри значний прорив у розвитку технологій безпеки за останнє десятиліття, труднощі, з якими стикаються кіберслужби, намагаючись впоратися з дедалі більшим потоком повідомлень про порушення, тільки загострюються. Фактично, понад три чверті (77%) security-спеціалістів згодні з тим, що виявляти і реагувати на загрози стає складніше, ніж будь-коли.

CrowdStrike створила Falcon XDR з нуля, щоб забезпечити команди безпеки справжньою, мультидоменною видимістю та повним контролем, необхідним для боротьби з загрозами та запобігання вторгненням завжди і скрізь.


Falcon XDR розв'язує найсерйозніші проблеми виявлення та реагування на інциденти, забезпечуючи:

  • Видимість, пошук та реагування з нечуваною швидкістю та масштабом. Falcon XDR використовує потужність хмари CrowdStrike Security Cloud, яка щодня корелює трильйони подій безпеки та обробляє безпрецедентні обсяги даних, ґрунтуючись на розвідці загроз та корпоративній телеметрії з кінцевих точок клієнтів, робочих навантажень, даних ідентифікацій, DevOps і конфігурацій. За допомогою цих орієнтованих на розпізнання загроз даних, інтегрованих у Falcon XDR, команди безпеки вже з першого дня отримують реальне бачення загальної картини IT-процесів із цінним контекстом безпеки та інтуїтивно зрозумілим, блискавичним пошуком.
  • Консолідовані, міждоменні виявлення та сповіщення. Коли мова цйдеться про виявлення та реагування, головним обмеженням, на яке посилається майже половина (47%) security-спеціалістів, є роз'єднаний, розрізнений характер даних та їх інструментів безпеки. Falcon XDR розв'язувати цю проблему в комплексі, перетворюючи раніше незрозумілі сигнали від розрізнених систем на високоефективні результати виявлення з наданням глибокого контексту розслідувань. А за допомогою інтерактивного огляду графів на консолі, фахівці зможуть інтуїтивно візуалізувати та відстежувати всю мультидоменну атаку з повним контекстом для кожного кроку в ланцюжку атак.
  • В основі Falcon XDR – провідне рішення EDR. Falcon XDR використовує всі переваги провідного у сфері безпеки набору рішень CrowdStrike для захисту кінцевих точок, включаючи базовий фреймворк, єдиний легкий агент та cloud-native архітектуру, на основі якої це все побудовано. Внаслідок чого команди безпеки уникають впровадження додаткових процесів та агентів, оптимізуючи EDR-інструменти, робочі процеси та впроваджуючи кращі практики у значно більшу кількість доменів свого стеку безпеки. Таким чином, Falcon XDR підвищує операційну ефективність та усуває необхідність використання кількох дашбордів, надаючи доступ до всіх показників телеметрії та заходів реагування в одній центральній консолі.
  • Спрощене моделювання виявлень та високоточні показники просто «з коробки». Сьогодні служби безпеки працюють із заплутаними, складними системами, для роботи з якими потрібні місяці навчання та налаштувань, перш ніж вони почнуть генерувати цінні відомості. Security-фахівці не можуть дозволити собі гаяти час. Озброївшись Falcon XDR, вони з самого початку мають можливість отримувати інтуїтивно зрозумілі, високоточні результати виявлення та багатий контекст подій, що повністю усуває потребу вручну писати, налаштовувати та підтримувати правила виявлення.
  • Спеціально розроблені інтеграції XDR із рішеннями Falcon і не тільки. У доповнення до схеми з відкритими даними, вбудованою в Falcon XDR, компанія CrowdStrike створює широкий спектр можливостей для подальшого розширення сфери застосування Falcon XDR. Це охоплює глибокі, конструктивні інтеграції як з іншими продуктами платформи Falcon (наприклад, Falcon Cloud Security і Falcon Identity Protection), так і з цілою низкою систем безпеки та ІТ-систем від найкращих світових виробників у рамках нещодавно сформованого альянсу CrowdXDR Alliance та за його межами. Крім того, Falcon Fusion, SOAR від CrowdStrike, також вбудований в платформу Falcon. Це дозволяє клієнтам налаштовувати активні повідомлення та заходи для реагування в режимі реального часу, а також створювати тригери на основі виявлення та категоризації інцидентів. Це зможе підвищити ефективність та гнучкість SOC та ІТ, при одночасному дотриманні вимог, що висуваються до конкретних сценаріїв використання.


Розв'язуйте проблеми, пов'язані з XDR, за допомогою спеціалізованого рішення

CrowdStrike лідирує завдяки інноваціям. І хоч компанії напевно було б набагато легше поставитися до XDR як до простого ребрендингу і назвати платформу Falcon "платформою XDR", це поза їхніми правилами. CrowdStrike спочатку виконує важку роботу, а потім дозволяє результатам говорити за себе.

Саме таким підходом компанія керувалася під час розробки свого легкого агента та cloud-native архітектури, які 10 років тому перевернули ринок застарілих антивірусів. Такий самий підхід CrowdStrike застосувала до XDR. Результат: абсолютно нове спеціалізоване рішення Falcon XDR, а також новий CrowdXDR Alliance, створений для втілення в реальність поставлених завдань, пов'язаних із забезпеченням команд безпеки комплексним виявленням та реагуванням у масштабах усієї екосистеми. Щоб переконатися у винятковості нового рішення від CrowdStrike, перегляньте Falcon XDR Demo.


Ознайомитися з прес-релізом Falcon XDR ви можете за посиланням.


iIT Distribution – офіційний дистриб'ютор рішень від компанії CrowdStrike, який допомагає організаціям забезпечити всебічний захист та підвищити ефективність своїх ІТ-інфраструктур. Ми практикуємо комплексний підхід, при якому клієнт отримує необхідне програмне забезпечення, технічне обладнання, а також послуги з впровадження та просування.

Назад

CrowdStrike Services випускає Incident Response Tracker для спеціалістів DFIR (Digital Forensics and Incident Response)

Реліз

CrowdStrike Services представляє трекер, призначений для допомоги спільноті фахівців з цифрової криміналістики та реагування на інциденти (DFIR – Digital Forensics and Incident Response).


CrowdStrike Incident Response Tracker – це зручна електронна таблиця, що містить вкладки для документування індикаторів компрометації, облікових записів, які були порушені, а також скомпрометованих систем та хронології значущих подій.

• Групи реагування на інциденти CrowdStrike використовували цей тип трекера в ході тисяч розслідувань.

• Завантажте зразок CrowdStrike Incident Response Tracker просто зараз.


Під час нещодавньої взаємодії CrowdStrike зі своїм клієнтом, у ході проведення тестування за методом TTX (Tabletop Exercise — метод навчання, заснований на моделюванні інциденту) стало очевидним, що замовник не використовує методологію відстеження показників та побудови тимчасової шкали інцидентів. Команда CrowdStrike Services хотіла надати користувачу більше інформації про те, як можна та слід відстежувати інциденти, але у відкритому доступі нічого не було. Щоб усунути цю прогалину, компанія випустила електронну таблицю CrowdStrike Incident Response Tracker, яка складається з декількох вкладок для структурованого та багаторазового запису подій різних класів, пов'язаних з інцидентами.


Команди цифрової криміналістики та реагування на інциденти (DFIR) зазвичай займаються проведенням складних технічних розслідувань, що включають отримання та перегляд образів системи, знімків пам'яті, журналів та інших джерел даних. Це призводить до появи величезної кількості доказів, завдань та технічних висновків у багатьох напрямках розслідування.


Хоча ефективне реагування залежить від багатьох факторів, що гармонічно взаємодіють, точна реєстрація і передача результатів розслідування, мабуть, найбільш важливі. Один зі способів зробити це — використовувати структурований трекер реагування на інциденти під час кожного розслідування, який можна застосовувати у процесі консолідації та передачі відповідної інформації в повторюваному вигляді.


Огляд CrowdStrike IR Tracker

Перевага використання такого інструменту, як CrowdStrike IR Tracker, полягає в тому, що він забезпечує єдиний простір для узагальнення ключової інформації про інцидент, охоплюючи:

• Зведену хронологію інциденту, яка є основою його опису;
• Індикатори інциденту (наприклад, IP-адреси, доменні імена, імена/хеші шкідливих програм, записи в реєстрі тощо);
• Дані про уражені облікові записи та системи, що становлять інтерес;
• Метадані інциденту, такі як ключові контакти, деталі зустрічей, зібрані докази, а також пов'язані з інцидентом запити та завдання.


Зокрема, CrowdStrike IR Tracker складається з наступних вкладок:

  • Investigation Notes: Розділ із даними про застосування інструментів фіксації та відстеження інформації про інцидент: тикети в підтримку, деталі конференц-залу та телемосту тощо.
  • Contact Info: Контактна інформація зовнішніх та внутрішніх співробітників, відповідальних за реагування на інциденти.
  • Timeline: Хронологія дій зловмисника, пов'язаних з подією.
  • Systems: Системи, доступ до яких було отримано або скомпрометовано суб'єктом (суб'єктами) загрози.
  • Accounts: Облікові записи, що зазнали впливу або були скомпрометовані суб'єктом (суб'єктами) загрози.
  • Host Indicators: Імена файлів, шляхи до каталогів, криптографічні хеші, записи реєстру і т.д., що становлять інтерес для розслідування.
  • Network Indicators: Зовнішні IP-адреси, URL-адреси, імена доменів, рядки User-Agent і т.д., які становлять інтерес для розслідування.
  • Request and Task Tracker: Область для відстеження запитів та завдань, пов'язаних з інцидентом.
  • Evidence Tracker: Область для відстеження доказів, зібраних під час розслідування.
  • Forensic Keywords: Ключові слова щодо конкретного інциденту для полегшення криміналістичного аналізу.
  • Investigative Queries: Запити для SIEM, кореляції журналів та слідчих платформ для полегшення аналізу інцидентів.


З оглядом трьох найбільш активно використовуваних і найкращих, на думку команди CrowdStrike, вкладок IR Tracker ви можете ознайомитись тут.


Завдяки зведеній та впорядкованій інформації команда CrowdStrike може зосередитись на наданні допомоги організації у виявленні впливу загроз на бізнес-активи та спільно з юристом встановити будь-які нормативні вимоги до звітності. CrowdStrike IR Tracker також допомагає визначити першопричину атак, щоб ваша компанія могла усунути вразливості, які привели до інциденту.


Щоб спростити розуміння інцидентів, CrowdStrike часто складає діаграми атак або графічні часові шкали у вкладці "Timeline". Компанія створює їх для короткого роз'яснення інцидентів для клієнтів, які зіткнулися з великими витоками даних у сотнях систем або протягом кількох років.


Нарешті, рекомендується використовувати онлайн-технології спільної роботи з електронними таблицями, наприклад, Office 365 або Google Sheets. Ці інструменти забезпечують ефективну взаємодію між різними користувачами для одночасного оновлення онлайн-документа, що зводить до мінімуму ризик виникнення проблем з версією. Дані також оновлюються в режимі реального часу, що допомагає командам продуктивно взаємодіяти.


Сам по собі CrowdStrike IR Tracker — не панацея від усіх «хвороб» процесу IR, а скоріше інструмент, який при правильному використанні може значно підвищити ефективність співпраці між окремими особами та командами. Як і всі інструменти, він повинен використовуватися правильно, і одним із ключових постулатів команди CrowdStrike IR є "гігієна трекера". Ми знаємо, що якщо трекер CrowdStrike IR не актуалізується, то результати будуть низькими. Трекер здатний принести реальну користь, але вона може бути отримана лише завдяки зусиллям, що прикладаються ВСІМА членами команди, РЕГУЛЯРНО. Підтримка системи відстеження інцидентів вимагає роботи та дисципліни, але ми впевнені, що це варте витрачених сил.


CrowdStrike ділиться шаблоном CrowdStrike Incident Response Tracker, щоб дати спільноті DFIR відправну точку для збору та запису артефактів інциденту у консолідованій та організованій формі. Ми сподіваємося, що цей ресурс стане корисною основою для розвитку вашої власної організації або у випадках, коли IR-трекер необхідний у найкоротші терміни.

Дізнатися про інші рішення від CrowdStrike.


Нагадаємо, що iIT Distribution є офіційним дистриб'ютором компанії CrowdStrike, який забезпечує дистрибуцію та просування рішень на території України, Казахстану, Узбекистану та Грузії, а також професійну підтримку у їхньому проєктуванні та впровадженні. Ми завжди забезпечуємо необхідний рівень інформаційної підтримки нашим партнерам та замовникам по кожному продукту та готові надати консультації з будь-яких питань, пов'язаних з підвищенням ефективності функціонування вашої IT-інфраструктури та її захисту.

Назад

Експлойт noPac: Нова вразливість Microsoft AD може призвести до повної компрометації домену за лічені секунди

Новина

Що сталося?

Нещодавно компанія Microsoft оприлюднила два критичні CVE, пов'язані з Active Directory (CVE-2021-42278 і CVE-2021-42287), які при їх комбінованому використанні зловмисником можуть призвести до підвищення привілеїв і, як наслідок, — до компрометації домену.

У середині грудня 2021 року був виявлений експлойт, що поєднує ці два дефекти в Microsoft Active Directory (його також називають "noPac"). Він дозволяв зловмисникам підвищувати привілеї звичайного користувача домену до адміністратора, що давало можливість здійснити безліч атак, таких як заволодіння доменом або ransomware.

Це викликає серйозне занепокоєння, оскільки цей експлойт був підтверджений багатьма дослідниками як експлойт, який не потребує значних зусиль для його експлуатації і несе в собі дійсно критичний вплив на безпеку інфраструктури. Дослідники з Secureworks продемонстрували, як можна використовувати ці вразливості Active Directory для отримання привілейованих прав доступу до домену лише за 16 секунд. Так, ви все правильно зрозуміли – зламаний домен за чверть хвилини!


Наслідки та реакція Microsoft

До цих уразливостей не можна ставитися несерйозно, оскільки тепер існує загальнодоступний експлойт, що дозволяє захопити домен без особливих зусиль (з використанням стандартного налаштування). Захоплення привілеїв домену дозволяє суб'єктам загроз отримати контроль над ним і використовувати його як відправну точку для розгортання шкідливого ПЗ, включаючи ransomware. Це один із найсерйозніших експлойтів, виявлених за останні 12 місяців, але він був менш обговорюваним, частково через підвищену увагу до вразливості Log4j. Microsoft схарактеризувала останню CVE як "менш ймовірну" загрозу безпеці, хоча експлойти на той момент вже були оприлюднені.

Проте, у зв'язку з критичністю виявлених помилок Microsoft опублікувала посібник для користувачів, який містить інструкції про те, що необхідно зробити, щоб знизити ймовірність компрометації за допомогою цього публічного експлойту.


Серед рекомендацій:

  • Переконатись, що всі контролери домену (DCs) "пропатчені". Якщо хоча б один з них залишиться невиправленим, це означатиме, що весь домен, як і раніше, вразливий. Виправлення контролера домену не є тривіальним завданням з огляду на його критично важливі властивості.
  • Виконати ручний пошук підозрілих подій, а потім використовувати ці події як відправну точку для подальшого ручного розслідування. Щобільше, потрібно буде не лише виконати ручний пошук, а й вручну вказати всі назви контролера домену. Знову ж таки, будь-яка допущена помилка може призвести до упущення зачіпок у пошуку.


Що це означає для користувачів Falcon?

Користувачі CrowdStrike Falcon Identity Protection можуть автоматично виявляти спроби використання цих вразливостей — навіть якщо вони не мали можливості застосувати виправлення до контролера домену Active Directory. Це стало можливим завдяки нещодавно випущеному розширенню від CrowdStrike, яке дозволяє автоматично детектувати використання CVE-2021-42278 та CVE-2021-42287 (також відомих як "noPac"), сповіщаючи про будь-які спроби їх використання. CrowdStrike розуміє, що командам безпеки і без цього доводиться нелегко, тому виробники подбали про те, щоб процес виявлення не вимагав додаткового ручного налаштування з боку клієнтів.

На додаток до вищезгаданої функції виявлення, Falcon Identity Protection може блокувати noPac за допомогою простої політики, що забезпечує багатофакторну автентифікацію (MFA) для користувачів, незалежно від факту виявлення. Таким чином, юзери, захищені політиками Falcon Identity Protection знаходяться в безпеці.


Це не перший випадок, коли користувачі Falcon Identity Protection отримують надійний захист від виявлених вразливостей Microsoft Active Directory.

У січні 2021 року було виявлено вразливість MSRPC Printer Spooler Relay (CVE-2021-1678), що вимагає від користувачів негайного внесення виправлень. І в цьому випадку недостатньо було просто "пропатчити" свою інфраструктуру — потребувалося додаткове налаштування. Falcon Identity Protection також покрив цю вразливість, виявивши аномалії NTLM і атаки NTLMrelayа.

Атака Bronze Bit (CVE-2020-17049) – ще один приклад уразливості, яку помітили понад рік тому. Розв'язання цієї проблеми з боку Microsoft полягало в тому, щоб попросити користувачів негайно "пропатчити" контролери домену. І в той час, як користувачі Falcon Identity Protection вже мали всі необхідні засоби для виявлення, Microsoft досі зволікають із запланованим випуском інструментів виявлення CVE-2020-17049.

Існують інші вразливості, такі як Zerologon (CVE-2020-1472), які щорічно знаходять у Microsoft Active Directory, а також постійні проблеми з компрометацією supply chain Microsoft AD.


Ймовірно, у майбутньому ми не перестанемо спостерігати нові вразливості. Питання лише в тому, наскільки добре захищена ваша організація, перш ніж ви зможете створити патч у своєму середовищі і переконатися, що при цьому більше нічого не порушено. Як видно з наведених вище прикладів, користувачі Falcon Identity Protection захищені не лише спеціальними засобами виявлення, але й можливістю застосування політики Zero Trust для запобігання крадіжці облікових даних та експлуатації в домені.


Висновок

Ця вразливість ще раз демонструє прямий взаємозв'язок між ідентифікацією (identity) та програмами-вимагачами. Встановлення патчів та зміна конфігурації може забрати багато часу, особливо за наявності декількох вразливостей одночасно (наприклад, Log4j). CrowdStrike на постійній основі забезпечує безперебійну безпеку та захист своїх клієнтів для того, щоб вони мали змогу вільно пріоритизувати свою роботу відповідно до бізнес-плану.

Дізнайтеся більше про рішення від CrowdStrike.


iIT Distribution пропонує компаніям найкращі рішення для захисту та підвищення ефективності своїх ІТ-інфраструктур. Ми практикуємо комплексний підхід, при якому клієнт отримує необхідне програмне забезпечення, технічне обладнання, а також послуги з впровадження та просування.

Назад

Як CrowdStrike захищає клієнтів від загроз, пов'язаних з Log4Shell

Реліз
  • Log4Shell, найновіша критична вразливість, знайдена в бібліотеці Log4j2 Apache Logging Services, становить серйозну загрозу для організацій
  • Активні спроби використати вразливість в реальних умовах робить цю вразливість найбільш серйозною загрозою на сьогодні
  • CrowdStrike використовує індикатори атак (IOA) і машинне навчання для захисту своїх клієнтів
  • CrowdStrike продовжує стежити за еволюцією Log4Shell, а також впроваджувати та оновлювати всі контрзаходи, необхідні для захисту клієнтів
  • Організаціям, які використовують Log4j2, наполегливо рекомендується оновити бібліотеку до останньої версії Log4j2 (2.16.0), яку опубліковано 14 грудня 2021 р.
  • Наразі нема потреби в оновленні клієнта CrowdStrike Falcon, або додаткових дій для зменшення наслідків вразливості. Для отримання додаткової інформації клієнти можуть відвідати нашу базу знань.


Останні висновки команди CrowdStrike Intelligence щодо Log4Shell (CVE-2021-44228, CVE-2021-45046) свідчать про широкомасштабний вплив цього типу вразливостей. CrowdStrike допомагає захистити клієнтів від загроз, які виникають внаслідок цієї вразливості, використовуючи такі засоби як машинне навчання, та індикатори атаки (IOA).

Log4Shell — це вразливість у поширеній бібліотеці Java, яка широко використовується всюди: від онлайн-ігор до хмарної інфраструктури. CrowdStrike Falcon OverWatch™ помітив активні та постійні спроби використати вразливість. Фінансово мотивовані зловмисники почали швидко використовувати загальнодоступний експлоіт для розгортання на вразливих цільових системах шкідливих програм, використовуючи майнери XMRig, код зворотньої оболонки (reverse shell), троянські програми віддаленого доступу та ботнети.

CrowdStrike використовує різні механізми для захисту клієнтів від зловмисного ПЗ, яке використовує вразливість Log4j2. З моменту виявлення CVE-2021-44228 засоби машинного навчання та IOA CrowdStrike Falcon запобігають діяльності зловмисників.

CrowdStrike продовжує активно стежити за еволюцією Log4Shell і застосовуватиме контрзаходи, необхідні для захисту клієнтів від зловмисної активності, яка виникла результаті використання вразливостей Log4j2.


Вплив вразливості та зловживання, які з нею пов’язані

Log4j2 — це бібліотека з відкритим вихідним кодом і є частиною сервісів Apache Logging Services, яка написана на Java і використовується на різних платформах, таких як Elasticsearch, Flink і Kafka. Оскільки Java є міжплатформним фреймворком, уразливість Log4j2 не обмежується лише додатками, які працюють на певній операційній системі.

Без належного запобігання загроз або встановлення виправлень, зловмисники можуть використовувати вразливість для розгортання шкідливого програмного забезпечення, виконання коду зворотньої оболонки (reverse shells) та інших дій у системах, які було скомпрометовано.

За даними CrowdStrike Intelligence, зловмисники почали проводити активне сканування та спроби використання, спрямовані на вразливі системи та служби, незалежно від операційної системи.

Оскільки Linux відіграє важливу роль у хмарних інфраструктурах, звіти про корисні навантаження, які виконуються за допомогою вразливості Log4j2, показали, що ботнети — такі як Mirai та Muhstik — почали атакувати пристрої всього через кілька днів після того, як вразливість стала загальнодоступною.

Галузеві звіти свідчать також і про інші загрози, спрямовані на операційні системи та фреймворки, вразливі до експлуатації Log4j2, а також сервіси навантажень такі як Cobalt Strike та Metasploit, які розгортаються у спробі створити плацдарм у цільовому середовищі.


Як клієнти можуть використовувати Falcon для полювання на Log4j2

Модуль Log4j2 постачається разом з великою кількістю програмних пакетів сторонніх розробників. З цієї причини полювання на Log4j2 буде не таким простим, як пошук його виконуваного файлу, його хешу SHA256 або шляху до файлу. Клієнти CrowdStrike Falcon можуть використовувати готові інформаційні панелі для всіх підтримуваних операційних систем, щоб виявити активне використання вразливості Log4j2 у своєму середовищі.

Окрім інформаційних панелей, клієнти можуть використовувати телеметрію датчика Falcon та шукати використання Log4j2 способами, які відповідають тому, як розробники можуть використовувати його у своїх програмах. Ось запит Falcon Insight™ для пошуку використання Log4j2:

event_simpleName IN (ProcessRollup2, SyntheticProcessRollup2, JarFileWritten, NewExecutableWritten, PeFileWritten, ElfFileWritten)
| search *log4j*
| eval falconEvents=case(event_simpleName="ProcessRollup2", "Process Execution", event_simpleName="SyntheticProcessRollup2", "Process Execution", event_simpleName="JarFileWritten", "JAR File Write", event_simpleName="NewExecutableWritten", "EXE File Write", event_simpleName="PeFileWritten", "EXE File Write", event_simpleName=ElfFileWritten, "ELF File Write")
| fillnull value="-"
| stats dc(falconEvents) as totalEvents, values(falconEvents) as falconEvents, values(ImageFileName) as fileName, values(CommandLine) as cmdLine by aid, ProductType
| eval productType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, productType, Version, AgentVersion, totalEvents, falconEvents, fileName, cmdLine
| sort +productType, +ComputerName

Ось ще один запит, який шукає спроби експлуатації Log4j2:

 search index=main event_simpleName=Script* cid=* ComputerName=*
| eval ExploitStringPresent = if(match(ScriptContent,"(env|jndi|ldap|rmi|ldaps|dns|corba|iiop|nis|nds)"),1,0)
| search ExploitStringPresent = 1
| rex field=ScriptContent "(?i)(?<ExploitString>.*j'?\}?(?:\$\{[^}]+:['-]?)?n'?\}?(?:\$\{[^}]+:['-]?)?d'?\}?(?:\$\{[^}]+:['-]?)?i'?\}?(?:\$\{[^}]+:['-]?)?:'?\}?[^/]+)"
| eval HostType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| stats count by aid, ComputerName, HostType, ExploitString
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, HostType, Version, AgentVersion ExploitString
| rename ComputerName as "Computer Name", HostType as "Device Type", Version as "OS Version", AgentVersion as "Agent Version", ExploitString as "Exploit String"
| search "Exploit String"="***"

CrowdStrike захищає клієнтів за допомогою машинного навчання та індикаторів атаки


Запобіжні заходи CrowdStrike Falcon спрямовані на застосування тактик та прийомів, які використовуються противниками та тестувальниками, а не на їх конкретні дії. CrowdStrike Falcon забезпечує захист від шкідливих загроз в різних напрямках, використовуючи машинне навчання та IOA для відстеження поведінки шкідливих процесів або сценаріїв на кінцевій точці навіть під час роботи з новими загрозами.

Унікальним внеском машинного навчання є те, що воно може ідентифікувати як відоме, так і нове зловмисне програмне забезпечення або загрози, аналізуючи зловмисні наміри на основі атрибутів файлу. Клієнт CrowdStrike Falcon використовує як хмарне, так і локальне машинне навчання на платформах Windows, Linux і macOS для виявлення та запобігання загрозам, які зараз розгортаються зловмисниками з використанням вразливості Log4j2, і він дуже ефективний у захисті від різноманітних типів шкідливих програм, таких як програми-вимагачі, майнери, трояни та ботнети.

Зображення 1. Знімок екрана, на якому Falcon ML успішно запобігає зловмисній діяльності, пов'язаній з Log4j2

На зображенні 1 показана успішна протидія Falcon ML після запуску зловмисниками шкідливої діяльності з використанням вразливості Log4j2. Як ми бачимо, процес bash під Java відповідає за використання утиліт wget і cURL для завантаження корисного навантаження першого етапу, позначеного AAA, розгортанню якого успішно запобігає локальне машинне навчання Falcon. Варто зазначити, що машинне навчання Falcon проактивно звітувало про зловмисну діяльність ще до оголошення про вразливість Log4j2.

Окрім захисту за допомогою машинного навчання, на скріншоті також показано, як команда Falcon OverWatch виявляє та надсилає сповіщення про шкідливий процес bash під Java, що є прикладом багаторівневого підходу, який CrowdStrike використовує для захисту наших клієнтів.

IOA є важливою частиною стратегії, яку використовує Falcon, коли справа доходить до виявлення загроз, включаючи нещодавно розгорнуті зловмисниками з використанням вразливості Log4j2. Цей підхід базується на виявленні наміру який має зловмисник, незалежно від шкідливого програмного забезпечення, яке використаного в атаці.

Наприклад, CrowdStrike Falcon зміг запобігти множинним розгорнутим загрозам за допомогою існуючого IOA. Спостерігаючи та зосереджуючись на серії дій і тактик, які намагаються здійснити противники, CrowdStrike Falcon може успішно виявляти та блокувати нові та невідомі загрози, які демонструють подібну поведінку.

Зображення 2. Знімок екрана, що демонструє, як Falcon IOA успішно запобігає зловмисній діяльності, пов'язаній з Log4j2


На зображенні 2 показано, як Falcon IOA успішно запобігає та нейтралізує шкідливу діяльність до того, як процес зміг запустити зловмисний код. Як наслідок, — жодної подальшої зловмисної діяльності після експлуатації на кінцевій точці не відбулося. Оскільки IOA можуть залучатися динамічно і не вимагають оновлення клієнтської частини, команда CrowdStrike Content Research & Response змогла випустити понад два десятки нових IOA протягом кількох годин після виявлення вразливості, покращуючи наявне покриття Falcon проти дій, пов'язаних з експлуатацією Log4j2.

Незалежно від того, чи використовується Windows, Linux чи macOS, CrowdStrike Falcon застосовує засоби виявлення поведінки, машинного навчання та розширеного запобігання зловмисній діяльності, щоб захистити клієнтів і зупинити порушення.


РЕКОМЕНДАЦІЇ

  • Організаціям, які використовують Log4j2, настійно рекомендується оновити бібліотеку до останньої версії Log4j2 (2.16.0), яку опубліковано 14 грудня 2021 р.
  • Перевірте всю інфраструктуру, програмні додатки та ланцюжок постачання програмного забезпечення для виявлення залежностей від фреймворку журналу Apache Log4j2
  • Переконайтеся, що ваші політики запобігання CrowdStrike Falcon налаштовані у відповідності до найкращих практик
  • Визначайте важливі програми/послуги та залишайтеся в курсі рекомендацій постачальників, щоб стежити за розвитком ситуації

Примітка. Клієнти CrowdStrike Falcon можуть звернутися до нашого порталу підтримки клієнтів, щоб отримати детальні інструкції щодо того, як виявити та пом’якшити системи, уразливі до Log4j2/Log4Shell.


Більше про компанію CrowdStrike та про її рішення

Менеджери iIT Distribution допоможуть вам з будь-якими питаннями щодо впровадження безпекових рішень CrowdStrike. Адже саме ми офіційно забезпечуємо їхнє втілення на території України, Казахстану, Узбекистану та Грузії.

Назад

Що таке SCAR і якими технологіями керуються мисливці на загрози з команди Falcon OverWatch?

Реліз

CrowdStrike Falcon OverWatch — це служба полювання на загрози, що включає в себе найкращих та найпрофесійніших аналітиків галузі, які борються із сучасними досвідченими зловмисниками. Але хоч люди й лишаються важливим компонентом забезпечення успіху OverWatch, діяльність мисливців на загрози також підтримується кращими у своєму класі технологіями, які дозволяють їм працювати з максимальною ефективністю.

Ці технології були створені не випадково. Група фахівців з команди OverWatch взяли на себе місію озброїти мисливців на загрози технологіями та інструментами, які необхідні їм для зупинки зловмисних суб’єктів на їхньому шляху. Ця група новаторів складає команду Стратегічних Досліджень Протидії, відомої як SCAR (Strategic Counter Adversarial Research).


Особиста Команда технічного супроводу OverWatch

Якби OverWatch були гоночною командою, SCAR був би PIT. Місія SCAR полягає в тому, щоб забезпечити постійну роботу OverWatch на максимумі продуктивності.

Подібно до того, як піт-команда завжди прагне модифікувати автомобіль для перегонів, щоб забезпечити його максимальну продуктивність для гонщика, дослідники SCAR втілюють інновації та вдосконалюють технології, які є основою для виявлення загроз OverWatch. Щоб розширити потенціал компанії, цілеспрямовано втілюючи інновацій та створюючи нові технології, OverWatch надає своїм мисливцям доступ до найкращих у своєму класі інструментів. Це дозволяє їм працювати на найвищому рівні.

«Тип діяльності, який ми спостерігаємо в OverWatch не може бути просто переданий машині, адже на іншому кінці клавіатури знаходиться людина», — пояснює Девід Зауді, головний дослідник безпеки в OverWatch SCAR.

Завданням OverWatch є пошук активностей, навмисно здійснених для того, щоб ухилитися від технології автоматичної виявлення, тому дуже важливо, щоб мисливці на загрози OverWatch отримували усі необхідні ресурси для швидкого та ефективного полювання. Запатентовані робочі процеси та інструменти, доступні аналітикам OverWatch, дозволяють їм вести пошук в усій базі клієнтів CrowdStrike одночасно та попереджувати клієнтів про шкідливу активність за секунди.

Читати більше про Falcon OverWatch


Вдосконалення технологій, необхідних мисливцям на загрози

Дослідники SCAR щоденно працюють над вдосконаленням поточних технологічних процесів OverWatch, одночасно з цим досліджують та розроблюють нові інструменти, які будуть необхідні для упередження майбутніх атак. Вони постійно споглядають за теперішнім і дивляться в майбутнє.

«Дослідники SCAR дивляться в майбутнє та обмірковують способи протистояння потенційним загрозам. У якому напрямі загроза буде рухатися? Що знадобиться OverWatch, щоб зупинити її?», », - каже Хоган.

Проводячи практичні дослідження, не обмежені специфічними технологіями, дослідники SCAR працюють над створенням нових методів виявлення зловмисників та інструментарію для оптимізації робочих процесів аналітиків щоб дозволити мисливцям на загрози OverWatch працювати розумніше, а не важче. Ця робота включає зворотну шкідливого програмного забезпечення для того, щоб дізнатися більше про його нюанси і створити кращі засоби запобігання. Це необхідно для створення прототипів нових можливостей полювання, щоб перевірити, чи відповідають вони високим стандартам, встановленим організацією пошуку зловмисників.

Крім того, дослідники SCAR взаємодіють з усіма командами компанії CrowdStrike на міжнародному рівні. Оскільки в CrowdStrike працюють тисячі співробітників, процес кооперування не є легким. Проте міжвідомче співробітництво має вирішальне значення в досягненні успішного функціонування OverWatch і CrowdStrike в цілому. SCAR стежать за тим, щоб продукти та сервіси, які розроблює CrowdStrike, доповнювали робочі процеси та інструменти, які мисливці на загрози OverWatch використовують щоденно. Це зміцнює здатність CrowdStrike надавати чудове обслуговування клієнтам та зрештою, зупиняти порушення.

«Ми допомагаємо визначати пріоритети ініціатив та відстоювати потреби OverWatch – як для наших мисливців, так і для наших клієнтів», — зазначає Девід Зауді. «Це допомагає нам всім лишатися на зв’язку та виконувати нашу місію – зупиняти порушення».

Не дивлячись на те, що кожне клієнтське середовище є самостійним об’єктом, масштабування робочих процесів та інструментів OverWatch, що розроблені та підтримані SCAR, дозволяє мисливцям на загрози ефективно використовувати трильйони точок даних для отримання конкретних ознак загроз. Це дозволяє їм спостерігати за активністю в середовищі одного клієнта, а потім полювати за такою самою активністю у всій клієнтській базі одночасно.

Продумана ставка OverWatch на технологічні інновації дозволяє команді вирішувати найскладніші завдання із захисту тисяч унікальних клієнтських середовищ. Для виконання своєї мети OverWatch спирається на фундамент передових технологій. Створення і підтримка цієї технологічної основи – це та цінність, яку SCAR надає не лише OverWatch та CrowdStrike, а й щоденно усім своїм клієнтам.


IT Distribution пропонує лише найкращі рішення безпеки. Ми є офіційним дистриб’ютором компанії CrowdStrike і забезпечуємо втілення їхніх рішень на території України, Казахстану, Грузії та Узбекистану, а також здійснюємо професійну підтримку для їх проєктування та впровадження.

Назад

Рішення CrowdStrike Falcon отримало найвищу оцінку AAA за результатами тестування організації SE Labs

Новина

Згідно з результатами Breach Response Test, представленими в останньому звіті незалежної організації SE Labs, рішення CrowdStrike Falcon відповідає найвищому стандарту ААА. Ця оцінка яскраво демонструє бездоганні здібності Falcon до автоматичного виявлення, захисту від складних атак та неослабної ефективності в нейтралізації та блокуванні загроз.


Мета тестування SE Labs – дати користувачам повне уявлення про можливості рішень для захисту кінцевих точок, шляхом випробування їх за допомогою поширених інструментів атаки, які зазвичай використовуються порушниками на ранніх стадіях злому, та шкідливих програм, які є найбільш типовими для поточного ландшафту загроз. CrowdStrike Falcon бере участь у тестуванні SE Labs з березня 2018 року, завойовуючи при цьому найвищі показники рейтингу AAA у звітах SE Labs Enterprise Endpoint Protection. Вже втретє Falcon отримує найвищу оцінку ААА згідно з аналізом показників захисту кінцевих точок підприємств!


Тестування рішень на здатність виявляти та захищати системи від загальних загроз включало перевірку точності ідентифікації веб-загроз, таких, як URL-адреси, які зловмисники зазвичай використовують для того, щоб обманом змусити користувачів завантажити віруси або виконати шкідливі сценарії. Перевірка можливостей виявлення та блокування експлойтів, а також точної ідентифікації легітимних програм також є частиною сценарію тестування, при якому CrowdStrike Falcon отримав оцінку AAA 99% Total Accuracy та 100% Legitimate Accuracy. Хибні спрацьовування, що виникають внаслідок некоректної ідентифікації легітимних додатків та веб-сайтів як шкідливих, можуть призвести до серйозних збоїв у роботі бізнесу. Таким чином, показник 100% Legitimate Accuracy означає, що підприємство витратить менше часу, зусиль та грошей на усунення хибних спрацьовувань та повернення систем у робочий стан.


Тестування кожного з етапів виявлення та захисту на усіх типових стадіях атаки, як правило, здійснюваної майстерними зловмисниками, дозволяє оцінити рівень реакції рішення безпеки на ці атаки. CrowdStrike Falcon отримав 99 Protection Score, що свідчить про неймовірно високий рівень захисту на різних стадіях атаки. Цим балом SE Labs оцінює здатність продуктів безпеки захищати системи шляхом виявлення, блокування чи нейтралізації загроз залежно від того, наскільки серйозними можуть бути результати атаки.


Рішення, які можуть виявити та нейтралізувати загрози на ранніх стадіях атаки, оцінюються вище, оскільки здатні захистити системи від найскладніших атак. І навпаки, тест серйозно критикує ті програмні забезпечення, які блокують легітимні програми, створюючи помилкові спрацьовування. І саме чудові показники аналізу здатності блокувати загрози на ранніх стадіях атаки дозволило CrowdStrike Falcon досягти відмінних результатів в автоматичному виявленні та захисті від інцидентів.


Нагадаємо про решту перемог CrowdStrike, пов'язаних з дослідженнями SE Labs:

  • Компанія отримала престижну нагороду SE Labs "Best Endpoint Detection and Response" у 2021 році.
  • CrowdStrike вже другий рік поспіль отримує нагороду "Найкращий EDR" завдяки відмінним показникам роботи EDR та результатам тестування за останні 12 місяців.

Ці досягнення демонструють справжню непохитність і відданість CrowdStrike своїй місії — максимально якісно запобігати порушенням.

Дізнатися про рішення від CrowdStrike детальніше.

Назад

Mobile Marketing
+