猎鹰agent BSOD事件成因报告

admin 2024年7月30日23:08:57评论7 views字数 974阅读3分14秒阅读模式

今天CrowdStrike官方发布了BSOD事件成因报告,点击阅读原文查看

直接原因就是负责验证Channel文件C-*.sys内容的Validator存在Bug,导致7.19那天发布的两个Channel文件中的其中一个在有问题的情况下仍然通过了验证,在发布后引发了大规模蓝屏

根据CS官方的说法,Channel文件所包含的内容叫做RapidResponse Content,即快速响应配置,可用于匹配行为模式来阻止和预防恶意操作,其内容以二进制形式存储在文件中,并非代码或者驱动

RapidResponse Content以TemplateInstance即模板实例的形式发布,其本质是一个TemplateType即模板类型的实例

每一个模板实例都对应特定的行为,FalconSensor通过这些实例来捕获、检测和预防恶意操作,FalconSensor藉此实现自身检测能力的动态配置

每一个新的TemplateType在发布前都会经过严格的压力测试,并从多个方面对该TemplateType进行评估,比如资源使用率、对系统性能的影响,甚至产生的事件的数量也在考虑范围之内

针对每一种TemplateType,一个特定的TemplateInstance(RapidResponse Content)会被用于进行压力测试,该实例会匹配TemplateType中字段的所有可能值以观测对系统的影响

上面这段话非常关键,CS并不会对所有的Channel文件(RapidResponse Content)进行压力测试,只会特意构造一个针对性的文件来对TemplateType进行测试

在今年的2.28,CS发布了一个新的针对IPC(进程间通信)的TemplateType来检测通过命名管道进行横向移动的操作

在3.5对该TemplateType进行了压测,压测通过之后,一个Channel文件被发布,紧接着在4.8和4.24又进行了额外3个Channel文件的发布,这些都是IPC TemplateType的实例

在7.19号CS准备发布2个新的IPC TemplateType的Channel文件,由于之前发布的实例都正常运行,Validator的校验也正常通过,所以这两个文件就直接发布了,然后就造成了大规模蓝屏

原文始发于微信公众号(我吃你家米了):猎鹰agent BSOD事件成因报告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月30日23:08:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   猎鹰agent BSOD事件成因报告https://cn-sec.com/archives/2996327.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息