微软计划重新设计反恶意软件产品与 Windows 内核交互的方式，以直接应对 7 月份由 CrowdStrike 更新错误导致的全球 IT 中断。 微软表示，它正在对 Windows 进行改进，以允许端点安全解决方案在操作系统内核之外有效运行，目的是为了防止未来出现类似 CrowdStrike 的大规模中断。 微软响应了客户和供应商的呼吁，同时指出，这些新功能要想满足需求，还必须克服许多挑战。 内核模式之外的性能需求和防篡改保护是需要关注的问题之一。微软表示，它将考虑安全传感器要求和安全设计，并试图改进 Windows 的架构，以允许防病毒工具在较低权限的空间或环境中运行时安全地检查系统。 在微软与 EDR 供应商举行为期一天的峰会后，微软副总裁 David Weston 表示，对操作系统的调整是实现弹性和安全目标的长期措施的一部分。 “我们探索了微软计划在 Windows 中提供的新平台功能，以我们在 Windows 11 中所做的安全投资为基础。Windows 11 改进的安全态势和安全默认值使该平台能够为内核模式之外的解决方案提供商提供更多的安全功能。”Weston 在EDR 峰会后的一份说明中表示。 重新设计是为了避免重演CrowdStrike 软件更新事故，该事故导致Windows 系统瘫痪并造成全球数十亿美元的损失。 Weston 提到了 CrowdStrike 事件，强调 EDR 供应商在向大型 Windows 生态系统推出更新时采用微软所谓的安全部署实践 (SDP) 的紧迫性。 Weston 表示，SDP 的核心原则包括“向客户逐步、分阶段部署更新”、使用“具有多样化端点的有节制的推出”以及在必要时暂停或回滚更新的能力。 Weston 补充道：“我们讨论了微软和合作伙伴如何增加关键组件的测试，改进跨不同配置的联合兼容性测试，推动有关开发中和市场中产品健康状况的更好的信息共享，并通过更严格的协调和恢复程序提高事件响应的有效性。” Weston 在峰会上表示，微软与合作伙伴讨论了内核模式之外运行的性能需求和挑战、安全产品的防篡改保护问题、安全传感器要求以及未来平台的安全设计目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

7月19日，CrowdStrike的故障更新造成了大规模业务中断。威胁行为者正在使用数据清除工具和远程访问工具并假冒CrowdStrike。研究人员和政府机构发现，由于企业正在寻求帮助来修复受影响的Windows主机，近期利用这种情况的网络钓鱼电子邮件有所增加。 官方渠道建立沟通 7月21日，CrowdStrike表示，公司“正在积极协助客户”解决更新错误带来的影响。公司提醒客户，确保他们是通过官方渠道与合法代表沟通，因为“对手和不良行为者可能会试图利用此类事件。” “我鼓励每个人保持警惕，并确保你与官方CrowdStrike代表接触。我们的博客和技术支持将继续提供最新更新的官方渠道。”——CrowdStrike CEO乔治·库尔茨（George Kurtz） 英国国家网络安全中心（NCSC）也发出警告，指出他们观察到网络钓鱼邮件的数量有所增加。自动化恶意软件分析平台AnyRun注意到“模仿CrowdStrike的尝试有所增加，这可能会导致网络钓鱼。” 恶意软件伪装成修复和更新 7月20日，网络安全研究人员g0njxa首次报告首次报告了一起针对BBVA银行客户的恶意软件攻击活动。这次攻击活动假冒CrowdStrike修复更新来诱骗用户下载，而实际安装一个名为Remcos的远程访问木马（Remote Access Trojan，简称RAT）。这个假冒的修补程序是通过一个钓鱼网站portalintranetgrupobbva[.] com，它伪装成西班牙对外银行的内联网门户。 恶意软件加载器伪装CrowdStrike公司的hotfix AnyRun也在推特上发布了类似的活动信息。攻击者通过一个伪装的热修复程序分发了HijackLoader恶意软件，该恶意软件随后在受感染的系统上释放了Remcos远程访问工具，使得攻击者能够远程控制受影响的计算机。 恶意附件推送数据擦除器 在另一个警告中，AnyRun表示攻击者正在分发一个数据擦拭器，声称产品提供CrowdStrike的更新。AnyRun提示，“它通过删除零字节的文件来破坏系统，然后通过Telegram报告。”另外，一个叫Handala的黑客组织称他们在给以色列公司的电子邮件中冒充CrowdStrike分发数据擦拭器。 该组织通过从域名“crowdstrike.com.vc”发送电子邮件来冒充CrowdStrike，让客户创建新工具来使Windows系统重新在线。执行假CrowdStrike更新后，数据擦除器将被提取到%Temp%下的文件夹中，并启动从而销毁存储在设备上的数据。   转自e安全，原文链接：https://mp.weixin.qq.com/s/f6XiCwv8XLcHV3r8SZqYSg 封面来源于网络，如有侵权请联系删除

网络安全公司 CrowdStrike 因向 Windows 设备推送有缺陷的更新而导致全球 IT 中断，面临压力。目前，该公司警告称，攻击者正在利用这一情况，以提供修补程序为幌子，向其拉丁美洲客户分发 Remcos RAT。 攻击链涉及分发名为“ crowdstrike-hotfix.zip ”的 ZIP 存档文件，其中包含一个名为Hijack Loader（又名 DOILoader 或 IDAT Loader）的恶意软件加载器，然后启动 Remcos RAT 负载。 具体来说，该存档文件还包括一个文本文件（“instrucciones.txt”），其中包含西班牙语说明，敦促目标运行可执行文件（“setup.exe”）来从问题中恢复。 该公司表示：“值得注意的是，ZIP 档案中的西班牙语文件名和说明表明，此次活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户”，并将此次活动归咎于一个疑似电子犯罪组织。 周五，CrowdStrike 承认，在 UTC 时间 7 月 19 日 04:09 推送到其适用于 Windows 设备的 Falcon 平台的常规传感器配置更新触发了逻辑错误，导致了蓝屏死机 (BSoD)，令众多系统无法运行，并使企业陷入混乱。该事件影响了运行 Falcon 传感器的客户。 攻击者迅速利用此次事件造成的混乱，建立冒充 CrowdStrike 的域名抢注网站，并向受此问题影响的公司宣传服务，以换取加密货币支付。 建议受影响的客户“确保通过官方渠道与 CrowdStrike 代表沟通，并遵守 CrowdStrike 支持团队提供的技术指导”。 微软表示，此次数字危机导致全球 850 万台 Windows 设备瘫痪，这占所有 Windows 设备的不到 1%。 此次事件再次凸显了依赖单一供应链的风险，标志着历史上最具破坏性的网络事件的影响力和规模首次被正式公开。Mac 和 Linux 设备未受到此次中断的影响。 微软表示：“这一事件表明了我们广泛的生态系统的相互关联性——全球云提供商、软件平台、安全供应商和其他软件供应商以及客户。”“这也提醒我们，对于整个技术生态系统中的所有人来说，使用现有机制优先考虑安全部署和灾难恢复是多么重要。” 英国国家网络安全中心 (NCSC) 警告称，旨在利用此次中断的网络钓鱼信息有所增加。 自动恶意软件分析平台 AnyRun 注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼” AnyRun 发现，恶意攻击已开始利用 CrowdStrike 事件来传播 HijackLoader，该程序会在受感染的系统上投放 Remcos 远程访问工具。 为了诱骗受害者安装恶意软件，攻击者将 HijackLoader 负载伪装在 WinRAR 压缩文件中，承诺提供来自 CrowdStrike 的修补程序。 恶意软件加载程序伪装成 CrowdStrike 的修补程序 AnyRun 在另一条警告中宣布，攻击者还以提供 CrowdStrike 更新为幌子分发数据擦除器：“它通过用零字节覆盖文件来破坏系统，然后通过 #Telegram 报告此事。” 虚假的 CrowdStrike 更新会擦除文件 在另一个例子中，AnyRun 指出，网络犯罪分子冒充 CrowdStrike 更新或错误修复传播其他类型的恶意软件。 一个恶意可执行文件通过包含 CrowdStrike 官方更新部分内容的 PDF 文件中的链接传播。该 URL 指向一个名为update.zip的存档，其中包含恶意可执行文件 CrowdStrike.exe。 受害企业还要面临的另一种安全威胁 因为目前几乎所有灾难恢复方案需要受害者手动操作，即删除引发蓝屏的 CrowdStrike 驱动程序。 当完成该步骤后， CrowdStrike 软件处于短暂的防守空白期，用户也可能卸载该软件（比如马斯克一怒之下要求在公司的网络中完全抛弃CrowdStrike 软件）。有研究人员认为，完成此次大规模蓝屏事件的修复工作可能需要耗时数周。这为网络犯罪组织进行新的攻击活动提供了可趁之机。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/b-8jtkq-KG_7PNvZswybqA 封面来源于网络，如有侵权请联系删除