本文來自微信公眾號“GoUpSec”。
從事件性質來看,此次IoC指標大規(guī)模泄漏暴露了CrowdStrike自身的管理問題,其對品牌和客戶信任的傷害可能還要遠大于導致全球系統(tǒng)大規(guī)模崩潰的“意外”事件。
全球大規(guī)模系統(tǒng)崩潰的災難性事件尚未完全平息,CrowdStrike近日再爆大雷。
知名黑客USDoD近日宣稱竊取了CrowdStrike全部攻擊指標(IoC)數(shù)據(jù),共約2.5億條,并在Breach Forums上發(fā)布了其中10萬條IoC數(shù)據(jù)作為樣本,該事件立即引發(fā)了安全業(yè)界廣泛關注。
研究者發(fā)現(xiàn),這些IoC指標樣本含詳細的威脅情報信息,其中包括Mispadu惡意軟件和SAMBASPIDER威脅行為者的關鍵細節(jié)。
具體泄漏了哪些信息?
USDoD,曾因入侵FBI的InfraGard安全平臺而聞名,宣稱此次在Breach Forums上發(fā)布的只是他掌握的CrowdStrike IoC數(shù)據(jù)的冰山一角。首批泄漏數(shù)據(jù)為一個大小為53MB的CSV文件,包含了10.3萬行IoC指標信息。
Hackread研究團隊分析泄漏樣本后發(fā)現(xiàn),其中包含與Mispadu惡意軟件相關的多個IoC指標的詳細信息。這些指標包括多種哈希值(如MD5、SHA-1和SHA-256),用于識別特定的惡意文件。所有數(shù)據(jù)均與SAMBASPIDER威脅行為者相關,涉及網(wǎng)絡攻擊的“投放”和“安裝”階段,具體如下:
哈希和惡意軟件信息:CSV文件包含各種哈希類型,例如MD5、SHA-1和SHA-256,用于識別與Mispadu惡意軟件相關的特定惡意文件。
威脅行為者:泄露的樣本數(shù)據(jù)中的所有條目似乎都與威脅行為者SAMBASPIDER有關。
殺傷鏈階段:數(shù)據(jù)突出顯示了網(wǎng)絡殺傷鏈的“交付”和“安裝”階段,提供了對惡意軟件在目標系統(tǒng)上交付和安裝的階段的深入了解。
置信度級別:每個條目都標有高置信度級別,表明威脅情報的可靠性。
威脅類型:威脅分為多種類型,包括銀行威脅、犯罪威脅和模塊化威脅,突顯了Mispadu惡意軟件的多面性。
MITRE ATT&CK技術:泄漏的IoC指標映射到幾種MITRE ATT&CK技術,例如:
●執(zhí)行/用戶執(zhí)行
●發(fā)現(xiàn)/系統(tǒng)檢查
●憑證訪問/輸入捕獲
●憑證訪問/憑證轉儲
●命令與控制/數(shù)據(jù)混淆
●防御規(guī)避/混淆的文件或信息
研究者發(fā)現(xiàn),每個IoC指標都標記為高置信度,表明這些威脅情報的可靠性。威脅類型包括銀行、犯罪和模塊化等多種類別,展示了Mispadu惡意軟件的多面性。
針對USDoD的泄漏聲明,CrowdStrike采取了謹慎的回應態(tài)度,并未完全否認黑客的說法。該公司分析了部分泄漏數(shù)據(jù)樣本,根據(jù)其中“LastActive”日期大致判斷數(shù)據(jù)泄漏可能發(fā)生在2024年7月。CrowdStrike認為,USDoD有夸大其詞的歷史,建議公眾對其聲明保持懷疑態(tài)度。
IoC指標泄漏的五大危害
此次大規(guī)模IoC數(shù)據(jù)泄漏可能對CrowdStrike的用戶造成嚴重而深遠的不利影響。GoUpSec分析師FunnyG表示,IoC指標信息可能被攻擊者利用以規(guī)避檢測,改進攻擊工具和方法,暴露客戶安全防御弱點等,具體如下:
1
攻擊者規(guī)避檢測
泄漏的IoC數(shù)據(jù)包含了CrowdStrike用于檢測惡意活動的具體指標,如惡意文件的哈希值、惡意IP地址等。這些數(shù)據(jù)一旦被攻擊者獲取,他們可以修改或規(guī)避這些已知的特征,以逃避安全檢測。例如,攻擊者可以改變惡意軟件的哈希值或使用不同的IP地址,從而避開安全系統(tǒng)的偵測和攔截。
2
增加客戶的安全風險
客戶依賴于CrowdStrike提供的威脅情報來保護其網(wǎng)絡安全。泄漏的IoC數(shù)據(jù)可能包含尚未公開的威脅信息,這些信息對保護客戶系統(tǒng)至關重要。如果這些數(shù)據(jù)被廣泛傳播,攻擊者可能更容易找到和利用客戶系統(tǒng)的漏洞,導致潛在的安全事件增加。對于使用這些威脅情報保護網(wǎng)絡的企業(yè),可能需要重新評估其安全策略并更新防御措施。
3
信息誤用和安全情報濫用
IoC指標數(shù)據(jù)通常包含與惡意軟件和威脅行為者相關的詳細信息,這些信息對于安全研究人員和企業(yè)至關重要。然而,一旦這些數(shù)據(jù)泄漏,惡意行為者也可以使用這些信息來研究和改進其攻擊手段。特別是涉及Mispadu惡意軟件和SAMBASPIDER威脅行為者的詳細情報,可能幫助攻擊者更好地理解安全系統(tǒng)的檢測機制,從而進一步精細化其攻擊策略。
4
信任危機和聲譽損害
此次泄漏事件可能導致客戶對CrowdStrike的信任危機。客戶依賴于CrowdStrike提供安全保護,而此次事件顯示了其在數(shù)據(jù)安全管理方面的不足。長遠來看,這可能影響客戶對CrowdStrike服務的信任度,進而影響公司的市場聲譽和客戶保留率。
5
法律和合規(guī)風險
如果泄漏的IoC數(shù)據(jù)中包含敏感的客戶信息或違反了數(shù)據(jù)保護法規(guī),CrowdStrike可能面臨法律和合規(guī)風險。公司可能需要面對監(jiān)管調查和潛在的法律訴訟,這不僅會導致財務損失,還可能影響公司在行業(yè)中的地位。
值得注意的是,這些泄漏的IoC指標對于(其他廠商的)網(wǎng)絡安全研究人員和專家也可以利用這些數(shù)據(jù),加強對抗Mispadu惡意軟件和SAMBASPIDER的安全機制。
CrowdStrike的黑色七月
CrowdStrike經(jīng)歷了公司歷史上最黑暗的七月。IoC指標大規(guī)模泄漏之際,CrowdStrike正忙于響應不久前導致全球系統(tǒng)崩潰的災難性事件。后者不僅導致大量Windows設備崩潰,還引發(fā)了假冒補丁的惡意軟件傳播,進一步感染了更多設備。這一連串的安全問題,無疑給CrowdStrike帶來了巨大壓力。
從事件性質來看,此次IoC指標大規(guī)模泄漏暴露了CrowdStrike自身的管理問題,其對品牌和客戶信任的傷害可能還要遠大于導致全球系統(tǒng)大規(guī)模崩潰的“意外”事件。因為IoC指標的泄漏不僅增加了CrowdStrike客戶面臨的直接安全威脅,還可能導致更廣泛的安全情報濫用、信任危機以及法律和合規(guī)風險。
當前,CrowdStrike尚未對最新的泄漏事件發(fā)布新的聲明,業(yè)界正在密切關注此事件的發(fā)展及其對網(wǎng)絡安全領域的潛在影響。