Microsoft выложила инструмент для восстановления Windows после CrowdStrike

Microsoft выложила инструмент для восстановления Windows после CrowdStrike

Microsoft выложила инструмент для восстановления Windows после CrowdStrike

Microsoft выпустила кастомный WinPE-инструмент для восстановления системы и удаления забагованного обновления CrowdStrike, которое на прошлой неделе устроило встряску 8,5 млн Windows-устройств.

Напомним, 19 июля компьютеры на Windows по всему миру столкнулись с серьёзным сбоем. На тот момент наблюдались проблемы в работе авиакомпаний (задержки и приостановка рейсов), а канал SkyNews вообще прекратил вещание.

Позже стало известно, что во всём виноват кривой апдейт защитного софта CrowdStrike, вызывающий «синий экран смерти» (BSOD) и бесконечный цикл перезагрузки.

Для устранения неполадок системные администраторы должны были загрузить системы в безопасном режиме и вручную удалить забагованный драйвер уровня ядра из директории «C:\Windows\System32\drivers\CrowdStrike».

Само собой, работа «ручками» при сбоях такого масштаба может доставить определённые проблемы, поэтому Microsoft решила выпустить специальную утилиту, автоматизирующую удаление драйвера.

«В продолжение истории с багом CrowdStrike Falcon, затрагивающим клиентские и серверные установки Windows, мы выпустили USB-инструмент, который поможет администраторам автоматизировать восстановление», — пишет корпорация.

«Скачать его можно по этой ссылке: https://go.microsoft.com/fwlink/?linkid=2280386».

Для запуска тулзы потребуются минимум 8 ГБ свободного места на диске, права администратора, USB-накопитель с минимальным объёмом в 1 ГБ, ключ восстановления BitLocker и 64-битная Windows.

Отмечается также, что флешка объёмом больше 32 ГБ не подойдёт для этой задачи, поскольку вы не сможете отформатировать её в FAT32, что необходимо для процедуры восстановления.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru