几天前,网络犯罪分子利用 CrowdStrike 更新故障造成的广泛破坏。他们分发了一个名为 “crowdstrike-hotfix.zip” 的恶意 ZIP 压缩包,并针对 CrowdStrike 客户发起了大规模的网络钓鱼活动。
昨天,CrowdStrike 向客户通报了网络犯罪分子使用的一种新方法。一份新的 Word 文档正在流传,它冒充微软针对 CrowdStrike BSOD(蓝屏死机)问题的修复手册。该 Word 文档包含宏,执行后会下载一个现在被追踪为 Daolpu 的窃取程序。
恶意 Word 文档详细信息:
New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm
SHA256 hash:
803727ccdf441e49096f3fd48107a5fe55c56c080f46773cd649c9e55ec1be61
要防范报告中描述的恶意软件攻击,请遵循以下建议:
- 验证 CrowdStrike 通信:仅通过官方渠道与 CrowdStrike 代表互动,并遵循其技术指导。
- 检查网站证书:下载软件前,请验证网站证书,确保其来源合法。
- 培训用户:教育 IT 员工避免打开或运行来自不可信来源的文件。
- 启用浏览器保护:使用浏览器的设置激活下载保护,它可以就潜在的有害网站或下载向你发出警告。
- 查找 Daolpu 指标:在计算机的临时文件夹(%TMP%)中查找文件 “result.txt”。它的存在可能表明已感染 Daolpu。
昨天,CrowdStrike 开发出一种新技术来加速修复受影响的系统。此外,CrowdStrike 现在还允许客户创建自己的可启动映像文件,以自动恢复 Windows 机器。
- CSPERecovery - 此映像使用 Windows PE 移除受影响的通道文件 291,只需最少的用户交互。如果卷具有 BitLocker 加密,可启动映像将在执行自动修复之前提示输入 BitLocker 恢复密钥。
- CSSafeBoot - 此映像使用 Windows PE 将主机重新启动到联网安全模式,以便使用 Windows 资源管理器或命令提示符手动删除通道文件 291。如果卷具有 BitLocker 加密功能,则不需要恢复密钥。适用于难以进入安全模式的系统
您可以在这里了解有关这些可启动映像文件的更多信息:
来源:CrowdStrike
![[WIN] Windows Firewall Control v6.12.0](https://www.pcsofter.com/wp-content/uploads/2023/11/2023111518132059.jpg)
