目录：

1.概述

2.背景

3.影响

4.是国家级APT所为吗？

5.利用该事件的网络攻击活动（网络犯罪团伙迅速“入场”）

6.全球网络安全专家如何看待此次事件？

7.各国政府的反应

8.微软和CrowdStrike事件有何关联？

4.是国家级APT所为吗？

专家1：

Mandiant Intelligent Response\HX（一款竞品）的专家分析，此次中断不是来自软件更新，而是来自内容更新。企业通常会延迟软件更新以降低风险，但内容更新会同时推送给大多数系统。况且从恢复说明来看，有问题的内容是由内核驱动加载的，因此影响严重。

从CrowdStrike代理架构的早期开始，他们就在内核中实现了大部分功能，而不是在用户层中实现。

这里有设计和风险的权衡 - 特别是性能(系统影响较小但BSOD风险更高)。

一个有趣的副作用是 - 任务管理器显示CPU/内存/IO使用率较低，大部分影响都隐藏在内核(PID 0)下。这成为了与竞争对手相比的一个卖点。

通常，反恶意软件产品可能会通过以下几种方式对系统造成重大影响:

1)驱动程序导致的BSOD

2)反恶意软件隔离系统关键文件

3)高CPU、内存或I/O影响

大多数成熟的企业安全产品(包括Crowdstrike)允许您选择哪些系统获得最新的软件更新(通常在这里安装驱动程序)，您可以运行N-1或N-2版本，以降低与#1和#3相关的组织风险。

中断不是来自软件更新(组织专门运行N-1来降低风险) - 而是来自内容更新(同时部署到大多数系统)。恢复说明显示内容位于驱动程序文件中(或由其加载)，而不是用户层进程。

专家2：

在分析Crowdstrike核心转储时发现，

已经确认最大41004字节的随机内存转储，看起来在更新过程中有一块堆数据以.sys文件的形式被写入磁盘。

事实上，现在回想起来 - 影子经纪人的泄露显示，美国国家安全局黑客团队（NSA TAO）会在Sun Microsystems的ebbv5.tgz中故意写入随机数据，以隐藏他们的漏洞利用尝试 - 通过破坏这个文件，它可能隐藏了在计算机网络行动中使用的漏洞利用。

几十年来，Sun Microsystems一直被渗透，美国人知道并利用后门和漏洞。微软和CrowdStrike也是如此。我不相信这件事的说法，肯定有问题。

我认为CrowdStrike的错误更新可能不仅仅是一个无心之失，而是有人故意为之，目的是隐藏一个漏洞利用的痕迹。如果我在使用我的宝贵的0day漏洞利用，并想要隐藏它，销毁证据就很重要，方法是用垃圾数据覆盖核心转储。如果这不是为了让系统崩溃，而是为了运行代码呢？当然这是推测，但这是个错误吗？不。

对于吹毛求疵的人来说，应该用CNA而不是CNO。我们需要对这一事件进行适当的调查，因为攻击者可能只是搞砸了，真正的错误是你的机器现在应该运行勒索软件。世界可能也躲过了一劫！

5.利用该事件的网络攻击活动（网络犯罪团伙迅速“入场”）

事件发生后，各国Cert已经观察到并发出预警，威胁行为体迅速利用这一事件进行了各种恶意活动，（国内网安同行在吃瓜的同时，是否已经把与“crowdstrike”相关的域名、邮件正文和附件都做了拦截处理？）

* 发送冒充CrowdStrike支持的钓鱼邮件给客户

* 在电话中冒充CrowdStrike员工

* 冒充独立研究人员，声称有证据表明技术问题与网络攻击有关，并提供补救建议

* 销售声称可以自动从内容更新问题中恢复的脚本

IOC

crowdstrike.phpartners[.]orgcrowdstrike0day[.]comcrowdstrikebluescreen[.]comcrowdstrike-bsod[.]comcrowdstrikeupdate[.]comcrowdstrikebsod[.]comwww.crowdstrike0day[.]comwww.fix-crowdstrike-bsod[.]comcrowdstrikeoutage[.]infowww.microsoftcrowdstrike[.]comcrowdstrikeodayl[.]comcrowdstrike[.]buzzwww.crowdstriketoken[.]comwww.crowdstrikefix[.]comfix-crowdstrike-apocalypse[.]commicrosoftcrowdstrike[.]comcrowdstrikedoomsday[.]comcrowdstrikedown[.]comwhatiscrowdstrike[.]comcrowdstrike-helpdesk[.]comcrowdstrikefix[.]comfix-crowdstrike-bsod[.]comcrowdstrikedown[.]sitecrowdstuck[.]orgcrowdfalcon-immed-update[.]comcrowdstriketoken[.]comcrowdstrikeclaim[.]comcrowdstrikeblueteam[.]comcrowdstrikefix[.]zipcrowdstrikereport[.]comndicators of Compromise (IOCs)Nombre del Archivo SHA256 HashCrowdstrike-hotfix.zip c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2sqlite3.dll 02f37a8e3d1790ac90c04bc50de73cd1a93e27caf833a1e1211b9cc6294ecee5vclx120.bpl 2bdf023c439010ce0a786ec75d943a80a8f01363712bbf69afc29d3e2b5306edinstrucciones.txt 4f450abaa4daf72d974a830b16f91deed77ba62412804dca41a6d42a7d8b6fd0maddisAsm_.bpl 52019f47f96ca868fa4e747c3b99cba1b7aa57317bf8ebf9fcbf09aa576fe006Setup.exe 5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9datastate.dll 6010e2147a0f51a7bfa2f942a5a9eaad9a294f463f717963b486ed3f53d305c2madexcept_.bpl 835f1141ece59c36b18e76927572d229136aeb12eff44cb4ba98d7808257c299maidenhair.cfg (HijackLoader configuration) 931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6rtl120.bpl b1fcb0339b9ef4860bb1ed1e5ba0e148321be64696af64f3b1643d1311028cb3vcl120.bpl b6f321a48812dc922b26953020c9a60949ec429a921033cfaf1e9f7d088ee628battuta.flv be074196291ccf74b3c4c8bd292f92da99ec37a25dc8af651bd0ba3f0d020349madBasic_.bpl(HijackLoader first-stage)d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0eaRemCos Payload 48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184RemCos C2 Address 213.5.130[.]58[:]443

6.全球网络安全专家如何看待此次事件？

奇安信网络安全事件响应专家、威胁情报中心负责人汪列军表示

在产品升级时，要控制影响范围，俗称“爆炸半径”，掌控好升级策略，确保灰度升级，控制放量节奏。逐步测试，逐步增加覆盖。

青藤云COO、网络安全专家程度表示，此次事件也为业界带来重要的启示。首先安全依然是重中之重。其次，在对于安全产品技术路线的选择上，通常软件开发包括内核态和用户态，前者拥有更高的系统权限，可以直接访问硬件，但劣势在于错误的驱动可能危及整个系统的稳定性和安全性；后者如果出错通常只影响单个应用程序，不会导致系统崩溃。目前看来CrowdStrike应该是在内核态下导致的问题。如果尽量采用非内核态的形式，出现这类问题的概率会低很多

WithSecure网络安全公司首席研究官米科·许普宁(Mikko Hyppönen)表示:"这是历史上最严重的案例——我们从未遇到过如此大规模的全球工作站故障。"大约十年前，由于蠕虫或木马的传播，大范围的中断更为常见。最近，全球性的中断发生在系统的"服务器端"，这意味着中断通常源于亚马逊网络服务等云提供商、互联网电缆中断或身份验证和DNS问题。

Kaspersky前威胁情报团队负责人科斯汀·拉伊乌(Costin Raiu)表示，令人惊讶的是，一个内核驱动程序更新竟然能引发如此大规模的全球计算机崩溃。拉伊乌曾在Kaspersky工作了23年，去年离开该公司。他表示，在Kaspersky任职期间，针对Windows软件的驱动程序更新在推送之前都要经过数周的严格审查和测试。

更重要的是，这些更新需要微软也审核代码并以加密方式签名，这意味着微软很可能也错过了导致这次中断的CrowdStrike Falcon驱动程序中的任何bug。拉伊乌说:"令人惊讶的是，尽管对驱动程序更新给予了极大的关注，这种情况仍然发生了"，"一个简单的驱动程序就能摧毁一切。这就是我们在这里看到的。"

微软没有回应有关更新监管以及Azure中断和CrowdStrike情况是否有任何联系的置评请求。不过，微软发言人表示，"CrowdStrike的更新导致全球多个IT系统瘫痪。"

拉伊乌补充说，尽管如此，CrowdStrike远非唯一一家因驱动程序更新而引发Windows崩溃的安全公司。他指出，Kaspersky甚至Windows自己内置的防病毒软件Windows Defender的更新在过去几年也曾导致类似的"蓝屏死机"崩溃。"地球上每个安全解决方案都经历过他们的CrowdStrike时刻，"拉伊乌说，"这并不新鲜，但事件的规模前所未有。"

这一灾难性局面反映了互联网的脆弱性和深度互联性。许多安全从业者告诉《连线》杂志，他们预计甚至与客户合作，试图防范防御软件本身因恶意利用或人为错误而导致级联失败的情景。"这是一个关于我们全球数字脆弱性和核心互联网基础设施脆弱性的极其有力的例证，"牛津大学教授、英国国家网络安全中心前负责人说。

一次更新就能引发如此大规模的中断，这一点仍让拉伊乌感到困惑。根据市场研究公司Gartner的数据，按收入计算，CrowdStrike占安全软件市场的14%，这意味着其软件存在于大量系统上。拉伊乌推测，Falcon更新一定在Azure和亚马逊网络服务等云提供商那里引发了崩溃，这大大放大了这场灾难。"CrowdStrike很大，但不可能这么大，"拉伊乌说，"机场、关键基础设施、医院。CrowdStrike不可能无处不在。我怀疑我们看到的是多种因素的组合，一种级联效应，一种连锁反应。"

来自WithSecure的Hyppönen表示，他的"猜测"是，这些问题可能是由更新过程中的"人为错误"引起的。"CrowdStrike的一名工程师今天过得很糟糕，"他说。Hyppönen认为，CrowdStrike可能发布了与他们一直在测试的软件不同的软件，混淆了文件，或者可能是多种因素的组合。"这样的软件必须经过广泛的测试，"Hyppönen说，"这是我们要做的。当然，这也是CrowdStrike要做的。你必须非常小心你发布的内容，这很难做到，因为安全软件更新非常频繁。"

该公司最初处理此事件的"解决方法"指南称，Windows机器应该以安全模式启动，应该删除特定文件，然后重新启动。"到目前为止，我们看到的修复方法意味着你必须亲自检查每台机器，这将需要数天时间，因为现在全世界有数百万台机器出现了这个问题，"WithSecure的Hyppönen说。

7.各国政府的反应

澳大利亚政府召开了全国紧急会议来应对这次中断。总理安东尼·阿尔巴尼斯宣布启动国家协调机制，他说:"我理解澳大利亚人对这次全球性中断以及影响广泛服务的担忧。我的政府正在与国家网络安全协调员密切合作"。他后来说:"目前看来，关键基础设施、政府服务或三个零服务没有受到影响。国家协调机制已经启动，目前正在开会"。建议维多利亚州居民，如果火警响起或检测到烟雾，要拨打三个零，因为由于中断，一些建筑物内的自动报警器可能不会自动呼叫消防服务。

英国政府的COBR委员会召开会议讨论这一事件。

美国总统拜登已经听取了关于CrowdStrike宕机的简报，而且"他的团队正在与CrowdStrike和受影响的实体保持联系。" 这在很大程度上是因为联邦政府是CrowdStrike的客户，也受到了影响。

汇总报告称，拜登的团队"全天都在跨部门协调，获取各个行业的最新情况，并随时准备提供必要的援助。"

国土安全部在一条单独的推文中表示，正在与其美国网络安全局CISA、CrowdStrike和微软以及联邦、州、地方和关键基础设施合作伙伴合作，"全面评估和解决系统中断问题"。

如何防止这种情况再次发生

这次停机影响了广泛的关键基础设施提供商，这可能会引发美国官员和企业高管的新问题，即是否需要新的政策工具来避免未来发生灾难。

白宫高级技术和网络安全官员安妮·诺伯格（Anne Neuberger）在周五被问及IT故障时谈到了技术供应链中的"整合风险"。

诺伯格在阿斯彭安全论坛上回应有关IT故障的问题时说："我们需要真正考虑我们的数字弹性，不仅是在我们运行的系统中，还要考虑全球互联的安全系统、整合的风险、如何处理这种整合，以及如何确保如果发生事件，我们能够控制住并快速恢复。"

周五发生的混乱情况并不涉及恶意行为体，但世界各地的政府官员可能会模拟可能发生的情况。

澳大利亚外交部前网络安全和关键技术大使托比亚斯·菲金（Tobias Feakin）告诉CNN："CrowdStrike事件表明，如果恶意对手有这样的想法，可能会造成严重的破坏。"

8.微软和CrowdStrike事件有何关联？

根据微软的说法，Microsoft O365中断始于7月18日UTC时间晚上9点56分。他们说如果你受到CrowdStrike问题的影响，你需要在UTC时间晚上7点之前从备份中恢复。所以大约在MS 365中断前三个小时。所以大约有三个小时的窗口期。第一个肯定是CrowdStrike中断，然后在这三个小时内发生了一些事情，Office 365也受到了影响。它们是否有关联？很难说。。。

最后预测一下CrowdStrike的股价