猎鹰agent BSOD事件成因报告

今天CrowdStrike官方发布了BSOD事件成因报告，点击阅读原文查看

直接原因就是负责验证Channel文件C-*.sys内容的Validator存在Bug，导致7.19那天发布的两个Channel文件中的其中一个在有问题的情况下仍然通过了验证，在发布后引发了大规模蓝屏

根据CS官方的说法，Channel文件所包含的内容叫做RapidResponse Content，即快速响应配置，可用于匹配行为模式来阻止和预防恶意操作，其内容以二进制形式存储在文件中，并非代码或者驱动

RapidResponse Content以TemplateInstance即模板实例的形式发布，其本质是一个TemplateType即模板类型的实例

每一个模板实例都对应特定的行为，FalconSensor通过这些实例来捕获、检测和预防恶意操作，FalconSensor藉此实现自身检测能力的动态配置

每一个新的TemplateType在发布前都会经过严格的压力测试，并从多个方面对该TemplateType进行评估，比如资源使用率、对系统性能的影响，甚至产生的事件的数量也在考虑范围之内

针对每一种TemplateType，一个特定的TemplateInstance（RapidResponse Content）会被用于进行压力测试，该实例会匹配TemplateType中字段的所有可能值以观测对系统的影响

上面这段话非常关键，CS并不会对所有的Channel文件（RapidResponse Content）进行压力测试，只会特意构造一个针对性的文件来对TemplateType进行测试

在今年的2.28，CS发布了一个新的针对IPC（进程间通信）的TemplateType来检测通过命名管道进行横向移动的操作

在3.5对该TemplateType进行了压测，压测通过之后，一个Channel文件被发布，紧接着在4.8和4.24又进行了额外3个Channel文件的发布，这些都是IPC TemplateType的实例

在7.19号CS准备发布2个新的IPC TemplateType的Channel文件，由于之前发布的实例都正常运行，Validator的校验也正常通过，所以这两个文件就直接发布了，然后就造成了大规模蓝屏

原文始发于微信公众号（我吃你家米了）：猎鹰agent BSOD事件成因报告