【赛迪网讯】2024年7月19日，一个原本平凡的周五，却因CrowdStrike Falcon的一次重大内容更新而成为了全球科技领域的黑色日。这次更新意外地触发了广泛部署的Windows主机上的错误检查机制，导致了史无前例的蓝屏死机（BSOD）潮，数十亿次系统中断瞬间席卷全球，影响了从个人用户到企业巨头，乃至航空、政府和医疗保健等关键基础设施的正常运行。据统计，全球范围内至少有850万台设备遭受了此次灾难性影响，其波及范围和持续时间之广，令人咋舌。

混乱中的网络诈骗盛宴

在这场由技术失误引发的全球混乱中，网络攻击者敏锐地嗅到了机会。他们迅速行动起来，利用用户对系统崩溃的恐慌和急于寻找解决方案的心理，精心策划并实施了一系列网络诈骗活动。从假冒的技术支持网站到伪装成官方修复工具的恶意软件，诈骗者无所不用其极，企图在这场混乱中浑水摸鱼，窃取用户信息或传播恶意代码。

Akamai，作为全球领先的网络安全和云服务提供商，迅速对这次事件进行了深入分析，并揭示了当前活跃的诈骗类型及其目标人群。Akamai的全球边缘网络数据显示，这些诈骗活动涉及的恶意域名种类繁多，包括数据擦除器、信息窃取程序和远程访问工具(RAT)，严重威胁到用户的数据安全和隐私。

据Akamai报告，这些诈骗活动不仅涵盖了传统的网络钓鱼和勒索软件攻击，还出现了针对特定行业和企业定制的高级持续性威胁（APT）。攻击者通过伪装成受信任的品牌或机构，诱导用户点击恶意链接、下载恶意附件或提供敏感信息。而目标人群则广泛分布于各行各业，但教育和公共部门因其在网络安全意识和防护措施上的相对薄弱，成为了重灾区。

意外的行业影响

值得注意的是，此次事件的影响范围之广，超乎了许多人的预料。传统上，高科技和金融服务业往往是网络攻击的首要目标，但此次事件中，教育和公共部门等非传统重点行业却遭受了严重冲击，占比超过29%。这一现象不仅揭示了网络安全威胁的普遍性和无差别性，也提醒我们所有行业都需要加强网络安全防护意识。

在CrowdStrike故障发生后，许多包含“crowdstrike”字样的域名被恶意盗用，这些域名伪装成官方技术支持渠道，声称能为受害者提供快速恢复服务。然而，这些所谓的“技术支持”实际上是精心设计的网络钓鱼陷阱，旨在诱骗用户泄露敏感信息或下载恶意软件。这种手法利用了用户在紧急情况下容易失去判断力的心理弱点，具有极高的欺骗性。

应对建议与未来展望 

针对此次事件及其引发的网络诈骗活动，Akamai大中华区解决方案技术经理马俊表示，在所有设备修复之后，我们很可能会看到更多与此问题相关的网络钓鱼尝试。只需浏览社交媒体，攻击者就能知道哪些品牌能激起最强烈的情绪，哪些品牌很容易被冒充以牟取恶意利益。

恶意攻击活动的运作方式与我们在企业中运作的方式一样：受害者是他们的“客户”，攻击者与客户的联系紧密，他们知道如何有效地分散投资组合，以确保最终获取不法利益。

随着此次事件的公开和CrowdStrike Falcon产品技术堆栈的暴露，网络攻击者可能会变得更加老练和有针对性。因此，企业和个人必须保持长期的警惕和投入，不断提升自身的网络安全防护能力，以应对未来可能出现的各种挑战。

马俊建议，处理此事件影响的安全专业人员可以采取一些方法来帮助补救并限制进一步的信息暴露。

· 执行横向移动差距分析与对手模拟：鉴于威胁者可能利用非CVE漏洞的机会，特别是当他们深入了解您安全堆栈的关键部分时，勒索软件的投放风险显著增加。为了全面评估并应对当前的威胁形势，我们强烈建议执行横向移动差距分析，甚至进行对手模拟。这些措施能帮助您识别潜在的弱点，并提前制定应对策略。

· 阻止已知及相关的IOC（指标物）：针对此次安全事件，已有多个可靠的情报来源提供了相关信息，包括我们整理的这份IOC列表。如果您的风险管理分析与这份列表相符，建议立即采取行动，直接阻止这些恶意域名，并考虑利用DNS层面的防御措施（如DNS过滤或漏洞防护），以有效阻断与这些恶意域名的任何通信，从而保护您的系统免受进一步侵害。

展望未来，随着技术的不断发展和网络环境的日益复杂，网络安全威胁将变得更加隐蔽和多样化。因此，无论是企业还是个人用户，都需要保持高度的警惕和投入，不断提升自身的网络安全防护能力。同时，政府和相关机构也应加强监管和指导，为构建安全、可信的网络环境提供有力保障。