信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

從事件性質(zhì)來(lái)看，此次IoC指標(biāo)大規(guī)模泄漏暴露了CrowdStrike自身的管理問題，其對(duì)品牌和客戶信任的傷害可能還要遠(yuǎn)大于導(dǎo)致全球系統(tǒng)大規(guī)模崩潰的“意外”事件。

全球大規(guī)模系統(tǒng)崩潰的災(zāi)難性事件尚未完全平息，CrowdStrike近日再爆大雷。

知名黑客USDoD近日宣稱竊取了CrowdStrike全部攻擊指標(biāo)（IoC）數(shù)據(jù)，共約2.5億條，并在Breach Forums上發(fā)布了其中10萬(wàn)條IoC數(shù)據(jù)作為樣本，該事件立即引發(fā)了安全業(yè)界廣泛關(guān)注。

研究者發(fā)現(xiàn)，這些IoC指標(biāo)樣本含詳細(xì)的威脅情報(bào)信息，其中包括Mispadu惡意軟件和SAMBASPIDER威脅行為者的關(guān)鍵細(xì)節(jié)。

具體泄漏了哪些信息？

USDoD，曾因入侵FBI的InfraGard安全平臺(tái)而聞名，宣稱此次在Breach Forums上發(fā)布的只是他掌握的CrowdStrike IoC數(shù)據(jù)的冰山一角。首批泄漏數(shù)據(jù)為一個(gè)大小為53MB的CSV文件，包含了10.3萬(wàn)行IoC指標(biāo)信息。

Hackread研究團(tuán)隊(duì)分析泄漏樣本后發(fā)現(xiàn)，其中包含與Mispadu惡意軟件相關(guān)的多個(gè)IoC指標(biāo)的詳細(xì)信息。這些指標(biāo)包括多種哈希值（如MD5、SHA-1和SHA-256），用于識(shí)別特定的惡意文件。所有數(shù)據(jù)均與SAMBASPIDER威脅行為者相關(guān)，涉及網(wǎng)絡(luò)攻擊的“投放”和“安裝”階段，具體如下：

哈希和惡意軟件信息：CSV文件包含各種哈希類型，例如MD5、SHA-1和SHA-256，用于識(shí)別與Mispadu惡意軟件相關(guān)的特定惡意文件。

威脅行為者：泄露的樣本數(shù)據(jù)中的所有條目似乎都與威脅行為者SAMBASPIDER有關(guān)。

殺傷鏈階段：數(shù)據(jù)突出顯示了網(wǎng)絡(luò)殺傷鏈的“交付”和“安裝”階段，提供了對(duì)惡意軟件在目標(biāo)系統(tǒng)上交付和安裝的階段的深入了解。

置信度級(jí)別：每個(gè)條目都標(biāo)有高置信度級(jí)別，表明威脅情報(bào)的可靠性。

威脅類型：威脅分為多種類型，包括銀行威脅、犯罪威脅和模塊化威脅，突顯了Mispadu惡意軟件的多面性。

MITRE ATT＆CK技術(shù)：泄漏的IoC指標(biāo)映射到幾種MITRE ATT＆CK技術(shù)，例如：

●執(zhí)行/用戶執(zhí)行

●發(fā)現(xiàn)/系統(tǒng)檢查

●憑證訪問/輸入捕獲

●憑證訪問/憑證轉(zhuǎn)儲(chǔ)

●命令與控制/數(shù)據(jù)混淆

●防御規(guī)避/混淆的文件或信息

研究者發(fā)現(xiàn)，每個(gè)IoC指標(biāo)都標(biāo)記為高置信度，表明這些威脅情報(bào)的可靠性。威脅類型包括銀行、犯罪和模塊化等多種類別，展示了Mispadu惡意軟件的多面性。

針對(duì)USDoD的泄漏聲明，CrowdStrike采取了謹(jǐn)慎的回應(yīng)態(tài)度，并未完全否認(rèn)黑客的說(shuō)法。該公司分析了部分泄漏數(shù)據(jù)樣本，根據(jù)其中“LastActive”日期大致判斷數(shù)據(jù)泄漏可能發(fā)生在2024年7月。CrowdStrike認(rèn)為，USDoD有夸大其詞的歷史，建議公眾對(duì)其聲明保持懷疑態(tài)度。

IoC指標(biāo)泄漏的五大危害

此次大規(guī)模IoC數(shù)據(jù)泄漏可能對(duì)CrowdStrike的用戶造成嚴(yán)重而深遠(yuǎn)的不利影響。GoUpSec分析師FunnyG表示，IoC指標(biāo)信息可能被攻擊者利用以規(guī)避檢測(cè)，改進(jìn)攻擊工具和方法，暴露客戶安全防御弱點(diǎn)等，具體如下：

1

攻擊者規(guī)避檢測(cè)

泄漏的IoC數(shù)據(jù)包含了CrowdStrike用于檢測(cè)惡意活動(dòng)的具體指標(biāo)，如惡意文件的哈希值、惡意IP地址等。這些數(shù)據(jù)一旦被攻擊者獲取，他們可以修改或規(guī)避這些已知的特征，以逃避安全檢測(cè)。例如，攻擊者可以改變惡意軟件的哈希值或使用不同的IP地址，從而避開安全系統(tǒng)的偵測(cè)和攔截。

2

增加客戶的安全風(fēng)險(xiǎn)

客戶依賴于CrowdStrike提供的威脅情報(bào)來(lái)保護(hù)其網(wǎng)絡(luò)安全。泄漏的IoC數(shù)據(jù)可能包含尚未公開的威脅信息，這些信息對(duì)保護(hù)客戶系統(tǒng)至關(guān)重要。如果這些數(shù)據(jù)被廣泛傳播，攻擊者可能更容易找到和利用客戶系統(tǒng)的漏洞，導(dǎo)致潛在的安全事件增加。對(duì)于使用這些威脅情報(bào)保護(hù)網(wǎng)絡(luò)的企業(yè)，可能需要重新評(píng)估其安全策略并更新防御措施。

3

信息誤用和安全情報(bào)濫用

IoC指標(biāo)數(shù)據(jù)通常包含與惡意軟件和威脅行為者相關(guān)的詳細(xì)信息，這些信息對(duì)于安全研究人員和企業(yè)至關(guān)重要。然而，一旦這些數(shù)據(jù)泄漏，惡意行為者也可以使用這些信息來(lái)研究和改進(jìn)其攻擊手段。特別是涉及Mispadu惡意軟件和SAMBASPIDER威脅行為者的詳細(xì)情報(bào)，可能幫助攻擊者更好地理解安全系統(tǒng)的檢測(cè)機(jī)制，從而進(jìn)一步精細(xì)化其攻擊策略。

4

信任危機(jī)和聲譽(yù)損害

此次泄漏事件可能導(dǎo)致客戶對(duì)CrowdStrike的信任危機(jī)?？蛻粢蕾囉贑rowdStrike提供安全保護(hù)，而此次事件顯示了其在數(shù)據(jù)安全管理方面的不足。長(zhǎng)遠(yuǎn)來(lái)看，這可能影響客戶對(duì)CrowdStrike服務(wù)的信任度，進(jìn)而影響公司的市場(chǎng)聲譽(yù)和客戶保留率。

5

法律和合規(guī)風(fēng)險(xiǎn)

如果泄漏的IoC數(shù)據(jù)中包含敏感的客戶信息或違反了數(shù)據(jù)保護(hù)法規(guī)，CrowdStrike可能面臨法律和合規(guī)風(fēng)險(xiǎn)。公司可能需要面對(duì)監(jiān)管調(diào)查和潛在的法律訴訟，這不僅會(huì)導(dǎo)致財(cái)務(wù)損失，還可能影響公司在行業(yè)中的地位。

值得注意的是，這些泄漏的IoC指標(biāo)對(duì)于（其他廠商的）網(wǎng)絡(luò)安全研究人員和專家也可以利用這些數(shù)據(jù)，加強(qiáng)對(duì)抗Mispadu惡意軟件和SAMBASPIDER的安全機(jī)制。

CrowdStrike的黑色七月

CrowdStrike經(jīng)歷了公司歷史上最黑暗的七月。IoC指標(biāo)大規(guī)模泄漏之際，CrowdStrike正忙于響應(yīng)不久前導(dǎo)致全球系統(tǒng)崩潰的災(zāi)難性事件。后者不僅導(dǎo)致大量Windows設(shè)備崩潰，還引發(fā)了假冒補(bǔ)丁的惡意軟件傳播，進(jìn)一步感染了更多設(shè)備。這一連串的安全問題，無(wú)疑給CrowdStrike帶來(lái)了巨大壓力。

從事件性質(zhì)來(lái)看，此次IoC指標(biāo)大規(guī)模泄漏暴露了CrowdStrike自身的管理問題，其對(duì)品牌和客戶信任的傷害可能還要遠(yuǎn)大于導(dǎo)致全球系統(tǒng)大規(guī)模崩潰的“意外”事件。因?yàn)镮oC指標(biāo)的泄漏不僅增加了CrowdStrike客戶面臨的直接安全威脅，還可能導(dǎo)致更廣泛的安全情報(bào)濫用、信任危機(jī)以及法律和合規(guī)風(fēng)險(xiǎn)。

當(dāng)前，CrowdStrike尚未對(duì)最新的泄漏事件發(fā)布新的聲明，業(yè)界正在密切關(guān)注此事件的發(fā)展及其對(duì)網(wǎng)絡(luò)安全領(lǐng)域的潛在影響。