Networkforensic
Threat hunting
CrowdStrike Falcon Fail...
20 Juli 2024 - Blog Post # 865
Total Fail
Må inderømme at dette helt klart nok kommer til nr 1 i lang tid på
"Total fail listen". Jeg kan huske mange igennem tiden som er fejlet
af forskellige sikkerheds vendors på forskelige områder. De er
allesammen nogen der brænder sig fast i hukommelsen. Men denne her
slår dem alle alene grundet den impact det har haft. På mange måder
ligner det her Mærsk incident om igen. Dog ikke med noget der ligner
Ransomware men med BSOD. Fejlet opdatering der går meget hurtigt via
Software deployment. Det er designet til at skulle gå hurtigt
hvilket det også gør
Som med Mærsk incidentet hvor "Det russiske told system" brugte en
falg til at bestemme hvem der skulle modtage en opdatering. Så lader
det til at hver CrowStrike kune modtager individuelle AV
opdateringer
på samme måde som det er sket med Mærsk. Men jeg kan stille mange
spørgsmål til hvorfor hver kunde skal have individuelle
opdateringer. Det kan der være mange
årsager til og nødvendige. MEN det giver mange sikkerheds mæssige
udfordringer. Jeg kan tænke mange senarier igennem der ikke er
ønsket her.
Forklarings problem
Genralt har CrowdStrike et meget stort problem med at en opdatering
kan lamme et OS i den anden ende på den måde det har gjort. Det SKAL
fanges i test inden det bliver sendt ud. Her har de et stort
forklaringsproblem. Men det er stort set det samme der er sket for
mange andre sikkerheds producenter igennem tiden, dog ikke med så
stor impact. Tilliden til dem på dette område får konsekvenser, det
får de lidt svært ved at rette op på.
Som sikkerheds analytikker er jeg selv gået uden om producenter der
gentagende gange laver denne type fejl. CrowStrike har lavet flere
fejl end jeg faktisk var klar over. Dem kan man finde rundt om på
nettet, de dukker især op nu. Så jeg mener slet ikke de er så modne
som mange måske tror de er. Men det er heller ikke en nem opgave for
nogen. Det er super kompliceret.
Identificering af fejl.
CrowedStrike Falcon fik da hurtigt identificeret fejlen. Men det
der bliver efterladt, er et helt vildt stort oprydnings arbejde.
Deres vejledning stemmer heller ikke helt mål med virkeligheden.
Mange der eks bruger Azure skal mounte diske ind og ud og med alle
dem der sidder og retter fejl lige nu, så går opgaven latterlig
langsomt. Det meste udstyr skal fejlrettes i hånden. Kender en
virksomhed der er ramt med godt 80.000 maskiner. Der skal løbes
stærkt for at få ting i luften igen her.
OSINT
Det er jo helt latterligt hvor nemt det lige er blevet at lave OSINT
på hvem der bruger CrowdStrike Falcon lige nu. Man skal bare kigge
efter dem der publicerer de er nede grundet et fejlet opdatering i
CrowedStrike. Det ved jeg der helt sikkert er nogen der kan bruge
til noget. Så det er "OSINT for the win"
Microsoft skyld !
Denne gang mener jeg faktisk ikke man kan sige det er Microsoft
skyld. Det er ene og alene CrowdStrike Falcon.
Men da de fleste bruges Microsoft som leverandør til alt hvad de
laver og det hele ligger i cloud, så skal man tænker over at få ting
flyttet væk fra Cloud til "on prim" der måske heller ikke alle sammen køre
på samme type OS. Det er alt for sårbart at alle ligger på de samme
systemer, noget mange sikekrheds folk altid har været klar over, men hvor ingen rigtig lytter til andet end marketings
folk. Men tænk over, at alle der bruger den samme cloud platform
basalt set bliver til den samme virksomhed.
Ironien.
Noget mange sikkerheds folk også ved, er at jo mere du installerer
på et OS jo mere sårbart bliver det og sværre at beskytte. En øvelse
mange virksomheder bør gøre sig er at begrænse installationer på
endpoints og servers og især ikke at ligne alle andre virksomheder.
Ligner alt hianden og der kommer en sårbarhed, så har det indflydes
på alle.
Det her var et ligende eksempel Mikko Hyppönen brugt for godt 20 år
siden. Kommer der en virus der rammer køer. og alle er den samme
type ko. Så forvent at det kan sprede sig til alle de samme køer.
Så er det måske en god ide ikke at ligne de samme køer..... Det er
gælde for OS og det valg af sikkerheds software man benytter.
Har i øvrigt tilføjet monitorering af opdateringer til CrowdStrike
driver folder i den seneste publiceret sysmon config.
Det gør det muligt at holde øje med alle opdateringer fra
CrowdStrike Falcon via eget SIEM.
Happy hunting.....
SNORT
NF IDS Rules
3 Latest Updates
Radius servers
Kerio Crash FTP
Kerio crash Domain
Zendesk Crypto
mining
Russian RMS Agent
Download
Suricata
NF IDS Rules
3 Latest Updates
BIMP-BotNet
Remcos-RAT
IOT-Password Attacks
Download
Sysmon
Config
3 Latest Updates
Version 15.14 Config 50
With CrowedStrike Falcon Update detection
Download