| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|
6页纸&OnePage文化:取消PPT文化,安全设计和对应的解决方案,细节的安全技术设计全部采用Word,直接对Word来分析逻辑;同时通过OnePage一页纸方法提前投放产品到市场看客户反馈、看客户需求、然后不断进行迭代;
安全规划思路:安全规划的未来的全部依靠目前遇到的一些问题来反推,例如SIEM的更新和架构升级来源目前一线员工的声音,这些一线员工带来真正的问题,输入给战略层,战略规划一线人员比例很大,这样可以给到管理者很好的输入。通过一线员工输入的声音和问题,来提出对应的解决方案,解决方案参考的是业界方案,但不完全照抄,而且按照自己的情况分解。
发现攻击:从2021年2月28日星期日开始,Falcon OverWatch的威胁狩猎团队(号称3000人的团队)看到了新的入侵的初步迹象。威胁狩猎观察到一个未知的攻击者在未经授权访问的情况访问多个客户环境中的主机上运行Microsoft Exchange应用程序池的情况,第一时间CrowdStrike团队开始通知受影响的组织。Falcon Complete团队立即开始深入调查该威胁的性质,进行最终的定性;
初始化访问:CrowdStrike Falcon控制台的初始检测显示了一个可疑的命令行,与常见的webshells行为一致;
定为被攻击程序:通过威胁图谱,OverWatch将"W3WP.EXE"进程标记为恶意的,因为观察到此进程试图利用名为 "MSExchangeOWAAppPool "的Exchange应用程序池来创建执行的命令,最终被Falcon代理自动阻止;
EDR数据调查:Falcon代理提供了丰富的端点检测和响应(EDR)遥测数据,对每个端点的行为提供了关键的洞察力。CS的端点活动监控(EAM)应用程序使Falcon Complete团队和Falcon平台客户能够实时搜索这些执行数据,并迅速调查和确定入侵的程度,通过EAM数据发现了磁盘写入的数据,这个里面可以看到对应的Meta,根据Meta可以做对应的规则;
离线下载文件:Falcon Complete通过终端窗口的实时响应工具(Real Time Response tool)分析这些文件,下载这些文件进行进一步的离线分析;
内存提取Payload:通过OverWatch团队的内存dump工具,提取IIS Post的内容,最终确定了漏洞利用Payload和黑客团体攻击的详细的情况。
复制其他客户:完成最终响应并且同步规则到其他的客户,由于是SaaS版,第一时间客户就具备了防御此次Exchange 0day攻击的防御能力。
参考:https://www.crowdstrike.com/blog/falcon-complete-stops-microsoft-exchange-server-zero-day-exploits/