永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:43 AM
Tue, Jul 23, 2024 2:55 AM
32
13
盤點臺灣企業因CrowdStrike產品更新造成電腦當機的災情
有某大型高科技製造業者此次受駭範圍甚廣,連該公司總經理都緊盯資安部門處理進度。該公司資安主管甚至表示:「勒索軟體都沒有辦法做到的事情(公司電腦大規模當機),CrowdStrike辦到了。」
微軟宣稱不到1%的Windows機器受到CrowdStrike事件的影響
微軟則說,雖然軟體更新偶爾會造成干擾,但像是CrowdStrike這樣的重大事件並不常見。即使只有不到1%的Windows用戶受到影響,但這些使用CrowdStrike的企業經營許多重大服務,讓此一意外對經濟及社會帶來廣泛的影響。
資安 CrowdStrike 微軟
Hey Man BOT
@hmystgot
Tue, Jul 23, 2024 2:43 AM
掰噗~
@baipu
Tue, Jul 23, 2024 2:43 AM
原來如此 (p-wink)
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:43 AM
匿名高科技業資安長表示,該公司有十八臺電腦受到影響,但這些受害電腦都是該公司關鍵應用的主機,當初因為這些主機很重要,所以才特別安裝CrowdStrike的EDR軟體做保護,沒想到,反而是提供防護的資安業者本身,造成電腦出現當機的情況。他說:「還好部門同仁在第一時間做緊急處置,否則造成的影響比駭客入侵還巨大。」

不過,該匿名高科技資安長也發現,他們將CrowdStrike的EDR軟體部署在關鍵應用的Windows 伺服器和Linux伺服器,而CrowdStrike的Falcon Sensor 都是啟動(Active),並不是所有Windows伺服器都出現藍色當機畫面,令人費解。
機器狼🌐AI搜尋全攻略
@KMN_BOT
Tue, Jul 23, 2024 2:43 AM
機器狼的新電腦速度超快,使用起來很順暢汪 (^ω^)
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:44 AM
BCP營運持續計畫 災害復原演練 大概是這兩年最重要的演練與稽核項目了
各位加油~~
Timshan
@timshan
Tue, Jul 23, 2024 2:45 AM
這次事件真的是暴露了我們很不想面對到問題,為了降低風險的EDR和防護軟體反而成為潛在最大的風險
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:45 AM
大家用的EDR 都要去檢視他們的安全與更新政策了
Timshan
@timshan
Tue, Jul 23, 2024 2:45 AM
即便如此,我們確實很需要EDR的監控功能
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:46 AM
Tue, Jul 23, 2024 2:47 AM
EDR XDR TDR 他們的權限都很高
EDR 這類軟體如果可能,應該還要保留可以隨時調整其他程序優先權的功能 以免當系統當掉時 連patch 都打不進去
Timshan
@timshan
Tue, Jul 23, 2024 2:47 AM
EDR如果被拿來塞惡意更新,看來很難有效去防堵
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:47 AM
Timshan : 以後要有防EDR的機制產生 XDD
Timshan
@timshan
Tue, Jul 23, 2024 2:47 AM
悲劇
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:49 AM
另外,登豐數位總經理黃建笙(方丈)也接獲一些受害業者的技術諮詢,就他觀察到的受害案例中,就有一家全面導入CrowdStrike產品的高科技製造業者,安裝CrowdStrike EDR軟體的伺服器,全部出現藍色當機畫面。

黃建笙(方丈)表示,該業者進行緊急處理後,發生了資料庫被Dirty shutdown(髒卸載)的情況,造成BOM表的交易記錄檔損壞、無法掛載。他也解釋,所謂的髒卸載就是資料庫被連續未預期的重新開機,但當時生產線還在生產,所以造成資料掛載的交易記錄被迫中斷,而又重新連上主機時,卻發現連不上,顯示為Dirty shutdown。
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:49 AM
因為生產線現場還在持續生產中,而該高科技製造業者為了要確保交易資料的正確性,在進行髒卸載資料庫進行一致性驗證,而系統估計需要花三天多的時間才能夠完成。

黃建笙(方丈)指出,一般而言,除非確定放棄資料庫的交易資料,才會直接捨棄特定時間以後的資料。而該高科技製造業者在7月19日晚上八點多時,做了一個重要決定,就是要捨棄生產線上所有製程,把原先所有生產表單直接棄置後,再重新輸入,資料庫也直接捨棄有問題的交易記錄。他說,該公司先盤點完已經生產完成的批號,且經過人工比對無誤後,再重新進單生產,並於當日晚上十點多,恢復生產線的產能運作,而產線上棄置產品共計十四條生產線。
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:49 AM
然後我覺得下面這個案例也很慘:
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:49 AM
一家高科技製造業者,全公司全面導入CrowdStrike的EDR軟體以及微軟的裝置加密功能BitLocker,並且採用地端解決方案,由AD目錄服務伺服器作為儲存BitLocker加密金鑰的區域。

該公司的AD伺服器以及用戶端電腦,都因為CrowdStrike的EDR軟體錯誤更新而導致無法正常開機,AD伺服器也因為複寫異常,造成AD伺服器透過更名程序回復系統後,造成母子網域複寫異常。
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:50 AM
要把AD 救援回來才行 XD
Timshan
@timshan
Tue, Jul 23, 2024 2:50 AM
不然我們以後用電腦都要用容器化的作業系統,來避免軟體直接對硬體造成傷害
DaveC
@davecode
Tue, Jul 23, 2024 2:53 AM
我公司 AD 主機沒有排 定時更新 這回事. XDDD.
AD 只有對內部。
我有定時整機備份。
因為太重要了,不能太新,不能連動過多。
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:55 AM
Tue, Jul 23, 2024 2:55 AM
DaveC : 問一下是否某些比較小的點,就不要裝AD比較好? 用其他服務來實現類似效果即可
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 2:58 AM
Timshan : 但好像沒辦法所有的服務都容器化 很多要花時間重弄
Timshan
@timshan
Tue, Jul 23, 2024 2:58 AM
永遠的真田幸村 : SSO太誘人了ww
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Tue, Jul 23, 2024 3:00 AM
Timshan : 【防範惡意更新】這個議題很早就被發現,仰賴簽名與完整性校驗機制處理。
DaveC
@davecode
Tue, Jul 23, 2024 3:00 AM
小型場所我不裝,沒有那麼多變更。
用本機的群組就好。

本機要有防火牆機制去限制讀取來源。
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:01 AM
DaveC : 本機的群組原則嗎? 這種是用內建的去設定就好?
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Tue, Jul 23, 2024 3:01 AM
Tue, Jul 23, 2024 3:02 AM
這次比較特殊的是......大家都不相信微軟,所以對於微軟的安全性更新有一大堆延後部署的方案。
大家也不相信 Fortigate,有一堆虛擬 router 的自我測試方案。

但不相信 EDR ?今後就會不相信了XD
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:02 AM
聽過太多AD變成失效點的案例了 dt 不好弄
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:02 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽 : 虛擬 router 的自我測試方案是哪一種?想請教看看 我想測試一下
Timshan
@timshan
Tue, Jul 23, 2024 3:03 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽 : 如果像這次的狀況,簽名和完整性都會過關啊
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:03 AM
Tue, Jul 23, 2024 3:03 AM
EDR如果被拿來濫用 算不算是一種完美的供應鏈攻擊? : P
Timshan
@timshan
Tue, Jul 23, 2024 3:03 AM
只有那個惡意更新是被第三方塞入的時候,這個做法才會有作用
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Tue, Jul 23, 2024 3:04 AM
Timshan : 對啊,這次不是惡意更新,是單純的原廠不可信任XD
Timshan
@timshan
Tue, Jul 23, 2024 3:05 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽 : 工程師的惡意(翻桌
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Tue, Jul 23, 2024 3:05 AM
其實我蠻訝異EDR權限這麼高,結果這堆公司會願意直接把原廠的更新立刻部署到 Prod 環境的.....連微軟都不可信賴了其他廠商(望
INA治百病@摳他羅
@megakotaro
Tue, Jul 23, 2024 3:05 AM
論零信任的重要性
連供應商都不能信XD
Timshan
@timshan
Tue, Jul 23, 2024 3:05 AM
我們家的EDR是知名T業者,我也是很抖啊(棍
Timshan
@timshan
Tue, Jul 23, 2024 3:06 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽 : 他很多功能的實現是建立在高權限許可下
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:06 AM
這下完蛋了 零信任適用範圍重新再詮釋 XD
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:06 AM
Timshan : 我也是用知名業者的 抖~~
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:07 AM
Tue, Jul 23, 2024 3:09 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽 : 我看了一下我的EDR 它好像沒辦法延遲更新
INA治百病@摳他羅
@megakotaro
Tue, Jul 23, 2024 3:07 AM
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽 : EDR的重點在於調查,有時候我們要把檔案從系統夾取出,又因為常和防毒包在一起,所以權限自然要大
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:07 AM
Tue, Jul 23, 2024 3:08 AM
喔 可以 似乎在中控去改整個site的 Policy 就好
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:08 AM
但這樣edr就會有特徵碼與資安延遲性的問題 好像也不能這樣幹
INA治百病@摳他羅
@megakotaro
Tue, Jul 23, 2024 3:08 AM
EDR調查不一定是取被防毒偵測到的,更多時候是把軌跡中正常檔案都抓出來做關聯分析或加入IoC
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Tue, Jul 23, 2024 3:10 AM
Tue, Jul 23, 2024 3:11 AM
永遠的真田幸村 : Router 的韌體更新驗證要詢問SI手法,一般他們都會自己做完驗證韌體與現有政策沒有衝突再幫客戶更新~
INA治百病@摳他羅
@megakotaro
Tue, Jul 23, 2024 3:11 AM
永遠的真田幸村 : 其實市面上吹EDR吹到把防毒混在一起,讓人很難理解,其實EDR取證是一項非常耗工的過程,延遲是當然的,有時候我們自己發現可疑檔案時先加入IoC,這時原廠還沒有特徵碼無法偵測,但我們可以先隔離分析、或是傳給原廠分析
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 3:17 AM
INA治百病@摳他羅 : 是啊
Chikei
@ChikeiLee
Tue, Jul 23, 2024 4:29 AM
https://www.theregister.com/... 微軟還是趕快把microsoft security 趕出kernel 然後叫大家都不准進kernel ㄅ
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Tue, Jul 23, 2024 4:48 AM
希望 windows kernel 有 Linux kernel 一樣的保護是不是搞錯了什麼
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Tue, Jul 23, 2024 4:51 AM
微軟光是搞了個UAC將一般使用者權限與特權使用者權限區分,十八年過去了到現在還是一堆教學、"優化"第一件事情就是關閉UAC呢
Chikei
@ChikeiLee
Tue, Jul 23, 2024 4:58 AM
windows kernel現在好很多,除了幹一堆怪事的資安軟體以外也沒啥driver走kernel mode惹 不過還是有使用者想裝20年前買的硬體然後爛driver就炸了
𝔃𝓝𝓲𝓪𝓷𝓰𝓴𝓸
@ssdoz2sk
Tue, Jul 23, 2024 5:18 AM
Chikei : 這真的,我裝了一張舊網卡上去,一插上網路線就BSOD
永遠的真田幸村
@ivanusto
Tue, Jul 23, 2024 5:20 AM
𝔃𝓝𝓲𝓪𝓷𝓰𝓴𝓸 : 這好慘
載入新的回覆