今天CrowdStrike官方发布了BSOD事件成因报告,点击阅读原文查看
直接原因就是负责验证Channel文件C-*.sys内容的Validator存在Bug,导致7.19那天发布的两个Channel文件中的其中一个在有问题的情况下仍然通过了验证,在发布后引发了大规模蓝屏
根据CS官方的说法,Channel文件所包含的内容叫做RapidResponse Content,即快速响应配置,可用于匹配行为模式来阻止和预防恶意操作,其内容以二进制形式存储在文件中,并非代码或者驱动
RapidResponse Content以TemplateInstance即模板实例的形式发布,其本质是一个TemplateType即模板类型的实例
每一个模板实例都对应特定的行为,FalconSensor通过这些实例来捕获、检测和预防恶意操作,FalconSensor藉此实现自身检测能力的动态配置
每一个新的TemplateType在发布前都会经过严格的压力测试,并从多个方面对该TemplateType进行评估,比如资源使用率、对系统性能的影响,甚至产生的事件的数量也在考虑范围之内
针对每一种TemplateType,一个特定的TemplateInstance(RapidResponse Content)会被用于进行压力测试,该实例会匹配TemplateType中字段的所有可能值以观测对系统的影响
上面这段话非常关键,CS并不会对所有的Channel文件(RapidResponse Content)进行压力测试,只会特意构造一个针对性的文件来对TemplateType进行测试
在今年的2.28,CS发布了一个新的针对IPC(进程间通信)的TemplateType来检测通过命名管道进行横向移动的操作
在3.5对该TemplateType进行了压测,压测通过之后,一个Channel文件被发布,紧接着在4.8和4.24又进行了额外3个Channel文件的发布,这些都是IPC TemplateType的实例
在7.19号CS准备发布2个新的IPC TemplateType的Channel文件,由于之前发布的实例都正常运行,Validator的校验也正常通过,所以这两个文件就直接发布了,然后就造成了大规模蓝屏
原文始发于微信公众号(我吃你家米了):猎鹰agent BSOD事件成因报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论