分析恶意 CrowdStrike 域名:谁会受到影响,接下来会发生什么
编辑及附加评论:Tricia Howard
文字编辑:Maria Vlasak
内容提要
2024 年 7 月 19 日的 CrowdStrike 事件发生后,Akamai 研究人员发现了 180 多个新创建的恶意域名,这类域名声称会协助应对该事件,并且这一数字还在继续增长。
我们识别出了与 CrowdStrike 事件相关的访问量最大的头部恶意域名,并整理了一份失陷指标(IOC)列表,供您考虑加入阻止列表或自行做进一步分析。
此处观察到的恶意域名之一在相关关键词中位列前 20 万个站点。
非营利机构和教育机构是受影响较大的行业,合计占所观察到的攻击流量的 20% 以上。
在本博文中,我们将探讨目前活跃的一些诈骗类型,并将深入研究谁是攻击目标,同时我们会为受此事件影响的企业和个人提供缓解措施建议。
前言
2024 年 7 月 19 日星期五,由于当时 CrowdStrike Falcon 发布的最新内容更新,全球绝大多数设备上集体爆发蓝屏死机,引发世界轰动。此更新触发了对 Windows 主机的错误检查,导致全球出现大范围蓝屏死机 (BSOD) 问题,造成各地发生数十亿次系统中断。
随着全球 850 万台设备受到影响,几乎所有行业都遭受了这场停机故障的冲击,其中包括航空、政府和医疗等关键服务。这引发了现实世界的严重连锁反应,部分影响甚至在事件发生几天后仍在持续。
与其他具有新闻价值的事件一样,攻击者立即试图利用本次更新所造成的大范围混乱和中断,乘机让情况变得更加糟糕。此次中断的范围之广,加上相关新闻报道的范围之广,导致很多感到不安的用户四处搜寻答案。
攻击者有机可乘
攻击者将此次事件视为进行社会工程学攻击的绝佳时机——他们迅速搭建了针对受影响 CrowdStrike 客户的诈骗网站,以窃取信息和传播恶意软件。
通过分析我们在全球边缘网络中监测到的数据,我们识别出了针对此次事件实施诈骗的前几大头部恶意域名(如图 1 所示)。我们目前已监测到的威胁涵盖了多个类别,包括擦除器(Wiper)、窃取器(Stealer)以及远程访问工具(RAT)。
图 1:冒充与 CrowdStrike 援助/技术支持相关的前几大恶意域名
这些主要域名所占的市场份额大致相同。此类域名大部分使用了 [.]com 顶级域名,由于其无处不在的普遍性,往往自带一种微妙的合法性。常见的关键字(例如 “bsod” 和 “microsoft”)在多个域名中出现,这些关键字是迫切需要相关知识的受害者在收集信息时常用的辅助搜索词。
没有谁能置身事外
攻击数据并未集中于某些行业,这最能体现事件的广泛性(图 2)。我们惊讶地发现,一些受此事件影响严重的行业往往不会成为网络攻击的目标,尤其是教育和公共部门。
图 2:按行业细分的攻击数据
非营利机构和教育机构:不幸成为攻击目标
尽管我们已经习惯了看到高科技和金融服务业首当其冲地遭受 0-day(零日)攻击,但在此处,占比超过 29% 的非营利与教育行业以及公共部门,其受害情况显得尤为突出。该行业在故障修复方面也受到了极大的影响——取决于学校的规模,单是一个校园内需要管理的学员设备数量就可能多达数千台。
教育部门的运营还依赖于技术技能水平各异的不同人群,包括一些根本不懂技术的人。尽管 IT 预算不断增加,但教育机构所拥有的安全团队通常规模较小,他们在保护这些环境的安全方面似乎徒劳无功。具有社会工程经验的攻击者会意识到这种缺失并会加以利用,这也可能会造成大量流量。
基于攻击活动的钓鱼基础设施识别
这些钓鱼活动通常依附于一套具备高容灾和抗摧毁能力的基础设施。尤其是当幕后黑客组织具备了足以媲美企业级 IT 架构的技术实力时,这种情况更为常见。这些更为复杂的活动可能具有故障转移和混淆机制,并能够迅速改变外观:在此次攻击活动中,观测到的其中一个域名与一个已知的恶意源存在关联,该恶意源曾利用过疫情期间的困境进行敛财/攻击。
此外,许多此类网站还内置了用户习惯将其与安全相关联的信任构建手段,例如 SSL 证书验证或 IT 技术支持。截至本博客文章发布之日,已识别出 180 多个不同的域名,它们全都是在 7 月 19 日至 7 月 21 日期间注册的。随着补救过程的继续,这一数字可能会进一步增加。
受影响的主要域名
对这些网站的影响非常明显,可以从流向这些网站的流量中得到证明。根据 AkaRank 的数据,这些网站获得了数百万次的访问量,在相关时间段内,其中一些网站在相关关键词的全球域名排名中甚至跻身前 20 万名。
我们分析了一些流量较大的域名以了解它们的作案手法,并根据它们伪装成合法网站的方式将某些网站分组在一起:虚假 IT 服务、虚假解决方案和虚假法律支持。注意:对于这些恶意网站,一些更高级的示例还涉及其他欺骗行为,包括“电话支持”,或重定向到真实的 CrowdStrike 网站,在用户毫无戒心的情况下进一步提高可信度。
虚假 IT 服务
发生 CrowdStrike 中断后,我们注意到攻击者创建了几个域名,这些域名是域名误植的 CrowdStrike,并且域名中包含 “crowdstrike” 一词。这些域名声称会为联系他们的受害者提供技术支持来解决问题(图 3)。
图 3:虚假服务诈骗示例
这类诈骗网站伪装成可以随时协助快速恢复系统的 IT 专业人员,并且其语气中同样充斥着一种迫切感。这种紧迫感可能会诱使访问者提供个人信息,这是网络钓鱼骗局的常见特征。他们的目标是直接从用户输入中窃取敏感信息。
虚假解决方案
我们还发现存在虚假解决方案活动,这些活动针对的是那些寻求快速解决问题而无需人工帮助的受害者(图 4)。此类钓鱼活动的核心套路是向用户兜售所谓的‘一键修复方案’。它们诱导受害者点击页面上的按钮,直接下载并运行伪造的修复脚本或恶意可执行文件。
图 4:虚假解决方案推广活动的截图
快速阅读相关说明后会感觉它看起来像是合法的修复方案。这些文件命名为“CrowdStrike”,它们提到了当前的问题,而且提供合理数量的步骤。如果受害者毫无戒心,并希望快速恢复工作,就会很容易将恶意软件引入自己的环境中。
虚假法律支持
并非所有恶意活动都专注于技术方面,有些活动还会涉足诉讼途径。这些攻击活动打着针对 CrowdStrike 停机故障提供法律援助的幌子,企图搜集用户的个人信息。图 5 示例中的登陆页面包含一家律师事务所的徽标和 CrowdStrike 的徽标,以提高其可信性。
图 5:恶意法律网络钓鱼网站
这个特殊的 IOC (crowdstrikeclaim[.]com) 格外醒目,因为它可能是广泛的网络钓鱼基础架构的一部分。Akamai 安全情报响应团队参与了此次分析,并确定该域名嵌入了一个已知的恶意 Facebook ID,该 ID 用于链接到 covid19-business-help.qualified-case[.]com。而该网站又嵌入了另一个链接到大约 40 个其他网站的 Facebook ID。
抵御措施
如果您受到了此次中断的影响并且正在搜索相关信息,我们建议您咨询 CrowdStrike 或 Microsoft 等可靠来源。尽管通过其他渠道似乎能获得更新的信息,但这些信息可能并不准确,或者更糟糕的是,网站可能存有恶意目的。
对于个人
如果您发现自己浏览的是一个声称可提供 CrowdStrike 中断相关帮助的页面,那么可通过几种方式来检查其合法性。
通过 HTTPS 访问时,请检查域名的证书和签发机构。
须知,如果某个域名要求输入信用卡号、社会保障号或银行账户信息等敏感信息,该域名很可能是不合法的(虚假网站)。
切勿打开任何声称能够修复该问题的邮件附件,即使这些邮件发送自与 CrowdStrike 极其相似的域名。
对于企业
应对此事件所造成影响的安全专业人员还可以通过某些方法帮助采取补救措施,并限制进一步暴露。
开展横向移动差距分析或对手模拟。企图获得经济利益的攻击者会寻找更多机会将勒索软件投放到环境中。虽然这不是一个可供利用的 CVE,但如果攻击者了解您安全堆栈的关键部分,那么可能存在潜在的技术影响。我们建议进行差距分析,甚至实施对手模拟,从而获取您当前面临的威胁态势的最新全貌。
封禁已知的及关联的 IOC(失陷指标)。针对此次攻击活动,有许多关于已知 IOC(失陷指标)的可靠情报源可供参考,其中就包括我们整理的清单。如果此列表与您自己的风险管理分析结果一致,请彻底屏蔽这些域名,甚至对其进行 DNS sinkhole 操作,以阻止与恶意域名的通信。
结论
在每个设备得到修复之后,我们可能会看到更多与该问题相关的网络钓鱼企图。只需简单浏览一下社交媒体,攻击者就可以了解哪些品牌最能激起情感共鸣,哪些品牌很容易被冒充以牟取恶意利益。
这是攻击者的工作,记住这一点很重要。恶意活动的运作方式与我们在合法企业中的运作方式一样:受害者是他们的“客户”,本博文中介绍的各种手段表明了他们是如何“贴近”客户的。他们知道如何有效地分散投资组合,以确保他们最终将钱存入银行。
未来影响
同样值得注意的是,由于这一事件的公开性,攻击者现在对某些目标的技术堆栈了解得更加透彻。假如在 Falcon 产品中发现未来的 CVE,可能也与此相关。攻击者只会变得越来越老练,他们多得到一块技术堆栈拼图,就会更容易地破解这个拼图。
想要了解更多信息?
Akamai 安全情报组 (SIG) 将继续监控并报告此类威胁,以便向我们的客户及整个安全社区提供情报。如需获取 SIG 开展的所有研究工作的完整清单,您可以查看我们的研究专属页面,或在 X(原 Twitter)上关注我们,以获取最及时的实时动态。