CrowdStrike再爆雷：2.5亿条IoC指标数据被黑客连锅端

查克海耶斯

名黑客USDoD近日宣称窃取了CrowdStrike全部攻击指标（IoC）数据，共约2.5亿条，并在Breach Forums上发布了其中10万条IoC数据作为样本，该事件立即引发了安全业界广泛关注。

研究者发现，这些IoC指标样本含详细的威胁情报信息，其中包括Mispadu恶意软件和SAMBASPIDER威胁行为者的关键细节。

USDoD，曾因入侵FBI的InfraGard安全平台而闻名，宣称此次在Breach Forums上发布的只是他掌握的CrowdStrike IoC数据的冰山一角。首批泄漏数据为一个大小为53MB的CSV文件，包含了10.3万行IoC指标信息。

Hackread研究团队分析泄漏样本后发现，其中包含与Mispadu恶意软件相关的多个IoC指标的详细信息。这些指标包括多种哈希值（如MD5、SHA-1和SHA-256），用于识别特定的恶意文件。所有数据均与SAMBASPIDER威胁行为者相关，涉及网络攻击的“投放”和“安装”阶段，具体如下：

哈希和恶意软件信息：CSV文件包含各种哈希类型，例如MD5、SHA-1和SHA-256，用于识别与Mispadu恶意软件相关的特定恶意文件。
威胁行为者：泄露的样本数据中的所有条目似乎都与威胁行为者SAMBASPIDER有关。
杀伤链阶段：数据突出显示了网络杀伤链的“交付”和“安装”阶段，提供了对恶意软件在目标系统上交付和安装的阶段的深入了解。
置信度级别：每个条目都标有高置信度级别，表明威胁情报的可靠性。
威胁类型：威胁分为多种类型，包括银行威胁、犯罪威胁和模块化威胁，突显了Mispadu 恶意软件的多面性。

MITRE ATT＆CK技术：泄漏的IoC指标映射到几种MITRE ATT＆CK技术，例如：
执行/用户执行
发现/系统检查
凭证访问/输入捕获
凭证访问/凭证转储
命令与控制/数据混淆
防御规避/混淆的文件或信息

研究者发现，每个IoC指标都标记为高置信度，表明这些威胁情报的可靠性。威胁类型包括银行、犯罪和模块化等多种类别，展示了Mispadu恶意软件的多面性。

CrowdStrike经历了公司历史上最黑暗的7月。IoC指标大规模泄漏之际，CrowdStrike正忙于响应不久前导致全球系统崩溃的灾难性事件。后者不仅导致大量Windows设备崩溃，还引发了假冒补丁的恶意软件传播，进一步感染了更多设备。这一连串的安全问题，无疑给CrowdStrike带来了巨大压力。

从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。因为IoC指标的泄漏不仅增加了CrowdStrike客户面临的直接安全威胁，还可能导致更广泛的安全情报滥用、信任危机以及法律和合规风险。

ryj

哦豁，这下真的是无能，不是什么小失误能盖过去了

—— 来自 OPPO PEDM00, Android 14上的 S1Next-鹅版 v3.0.0.81-alpha

wenhaowu

笑死上次蓝屏事后就几张外卖卷了事，外包都没杀几个祭天，史密斯专员真够硬的

星花

猫屎盆子 发表于 2024-8-1 19:36
给阿美未来全世界搞网络袭击打掩护呢，到时候就两手一摊说不是我干的，是黑客干的 ...

这些都是阿米的数据。

红炉灰

还引发了假冒补丁的恶意软件传播

思路广啊

zerona

这公司废了吧. 感觉源代码是不是也都被复制了?

daquan

实属美帝绿坝了

—— 来自 vivo V2164KA, Android 11上的 S1Next-鹅版 v2.1.2

买码！注册！

好急啊，怎么没人画CrowdStrike娘，就用恶役千金人设得了

起飞

没看太明白。

攻击行为特征被公布出来有什么问题吗？

作为外行来看，感觉就是一个识别认证，有这种特征的就作为处理对像？

大奈奈

恶意行为特证库被扒，利好开源af.借你特证库用一用

渡鸦骑士

最简单的就是用他家的防御可靠性和可信度下降了吧

大奈奈

起飞 发表于 2024-8-1 20:42
没看太明白。

攻击行为特征被公布出来有什么问题吗？

安全公司的识别特证库应该都是闭源的，用户都要保持订阅才能更新最新特证库，算是无形资产，这下利好开源ngaf了

烦死了

usdod？ 美国国防部？

catxing

补充个乐子：Delta航空说这次蓝屏事件给他们造成了5亿美元的损失，他们准备向Crowdstrike请求补偿，不排除起诉他们。

这算是咬第一口，后面围观的估计成千上万...