.jpg)
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel
Czytaj więcej
Tagi:
edr
BLOCKADE SPIDER – groźne ataki cross-domain
BLOCKADE SPIDER wykorzystuje ataki cross-domain, zagrażając firmom. Sprawdź, jak chronić infrastrukturę przed tym zagrożeniem.
Słyszałam o BLOCKADE SPIDER i od razu pomyślałam: "są mocni”. Ten typ to kunszt w poruszaniu się po różnych środowiskach, od endpointów, przez chmurę, po systemy tożsamości.
Maksymalny chaos przy minimalnym ryzyku wykrycia.
Cross-domain attacks – szybciej, sprytniej, bez litości
BLOCKADE SPIDER działa od co najmniej kwietnia 2024 roku, atakując niezarządzane systemy, kradnąc hasła i przeskakując lateralnie do wirtualnej infrastruktury, żeby szyfrować pliki swoim Embargo ransomware. I nie myśl, że zostają przy jednym środowisku , doskonale potrafią celować w chmurę i Active Directory.
I nie są sami. Coraz więcej przeciwników stosuje techniki cross-domain (w dużym skrócie, to sytuacja kiedy macie pliki na jednej domenie domena.pl i np. api.domena.pl, jeden blok i kilkanaście mieszkań, a przeciwnik przemieszcza się pomiędzy pokojami) wykorzystując niezałatane luki, niewłaściwe konfiguracje i legalne konta do poruszania się między systemami, często bez wykrycia przez klasyczne rozwiązania.
Jak CrowdStrike OverWatch zadziałał w infrastrukturze?
OverWatch wykrył BLOCKADE SPIDER w sieci ofiary przez niezabezpieczone VPN-y.
Przeciwnik zaczął lateralne ruchy po zarządzanych systemach - dumpował hasła, próbował kasować backupy, takietypowe „big game hunting”.Oczywiście próbował też wyłączyć Falcon sensor. Nie udało się. Szybko adaptował strategię. I tu wchodzi właśnie technika cross-domainowa: identyfikacja kont, logi z Falcon Next-Gen SIEM i Falcon Identity Threat Protection pozwoliły śledzić każdy ruch BLOCKADE SPIDERa.
Dzięki tym narzędziom OverWatch monitorował każdy krok grupy: od on-prem do chmury, włącznie z obejściem MFA i śledzeniem wdrożeniem rogue'a Active Directory (Rogue Active Directory to zaawansowana technika w której atakujący wprowadza do istniejącej infrastruktury Active Directory fałszywy serwer - tak zwany „Rogue Domain Controller”. Celem jest przejęcie kontroli nad siecią, tworzenie nowych kont administracyjnych, modyfikowanie uprawnień, a czasem nawet manipulowanie politykami bezpieczeństwa.)
Efekt? Mimo głębokiego wniknięcia w infrastrukturę, CrowdStrike Falcon Insight i Falcon Next-Gen SIEM dały pełną widoczność i pozwoliły ostatecznie zamknąć dostęp.
Jedna konsola, pełna widoczność
Lesson learned? Samo wykrywanie nie wystarczy.
Organizacje potrzebują widoczności. Po prostu możliwości widzenia całej sieci i aktywności w różnych środowiskach jak na dłoni, w jednym miejscu. Nie chodzi tylko o pojedyncze alerty z endpointów albo logi z chmury, tutaj chodzi o korelację wszystkiego razem, tak żeby zrozumieć, co naprawdę robi przeciwnik, zanim zrobi Ci krzywdę.
Falcon platform robi dokładnie to. Łączy ochronę punktów końcowych, czyli bezpieczeństwo komputerów, serwerów i urządzeń końcowych, chmurowych– zabezpieczenia aplikacji i danych w chmurze, oraz ochronę tożsamości – kontrolę kont użytkowników, dostępów i uprawnień. Wszystko w jednym sensorze i jednej konsoli.
Falcon Insight XDR i Next-Gen SIEM pozwalają korelować telemetrię między systemami, wyróżniać prawdziwe zagrożenia i działać, zanim szkody się wydarzą. A dzięki CrowdStrike Falcon Adversary OverWatch i Complete Next-Gen MDR możliwy jest proaktywny threat hunting w całym środowisku od endpointów, chmury czy tożsamości.
A wrócę do Rouge Active Directory ????
Wydaje mi się to najciekawszy element całego działania w Crowdstrike:
Zacznijmy od postaw czyli czym jest ten słynny Rouge Active Directory. Atakujący wprowadza do istniejącej infrastruktury AD fałszywy serwer, właśnie tak zwany „Rogue Domain Controller”. Celem jest przejęcie kontroli nad siecią, tworzenie nowych kont administracyjnych, modyfikowanie uprawnień, a czasem nawet manipulowanie politykami bezpieczeństwa. W praktyce oznacza to, że nawet głęboko zakorzenione mechanizmy bezpieczeństwa można obejść, jeśli Rogue AD zostanie wdrożony poprawnie.
Najbardziej znany wariant tej techniki to DCShadow, gdzie atakujący rejestruje fałszywy kontroler domeny i wprowadza zmiany w AD, które wydają się legalne. Dla administratorów wygląda to jak normalna aktywność, a w rzeczywistości napastnik może np. dodawać własne uprawnienia, modyfikować hasła lub obejść MFA.
A co się stało w przypadku BLOCKADE SPIDER, CrowdStrike OverWatch wykorzystywał dane z Falcon Insight i Falcon Next-Gen SIEM, żeby monitorować każdy ruch napastnika. Atakujący próbował obejść MFA i wdrożyć rogue Active Directory agent, czyli właśnie ten złośliwy komponent działający jak „podrobiony kontroler domeny”. Dzięki pełnej widoczności i korelacji danych, OverWatch był w stanie śledzić te działania w czasie rzeczywistym i ostatecznie zablokować dostęp napastnika, zanim wyrządził poważne szkody.
W skrócie: Rogue AD pozwala przeciwnikowi „udawać” legalny kontroler domeny, przejąć sieć i wprowadzać zmiany niezauważone przez tradycyjne mechanizmy bezpieczeństwa. CrowdStrike Falcon Insight i Next-Gen SIEM potrafią to wychwycić i zneutralizować, nawet jeśli atakujący działa głęboko w infrastrukturze.
Czy AV go wykryje?
No ba, że nie - już tłumaczę dlaczego. Standardowy antywirus ani EDR prawdopodobnie nie wychwyci Rogue AD, bo nie jest to malware w tradycyjnym sensie. To legalny proces systemowy, który działa w obrębie infrastruktury i wygląda jak normalna aktywność replikacji AD. Dlatego potrzebna jest pełna korelacja danych, monitoring zmian w AD i inteligencja w czasie rzeczywistym.
Oceń blog:
Czas czytania: 7 min
Data: 13.02.2026
Terminarz
prev
next
Lista najbliższych webinariów
25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje
Zobacz inne wpisy
Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.
-10(1).png)
Endpoint Detection and Response (EDR)
-9(1).png)
Next Generation Firewall (NGFW)
-5(1).png)
Managed Detection and Response (MDR)
WatchGuard MDR - co to jest i który wariant wybrać?
Czytaj więcej
-4(1).png)
Endpoint Detection and Response (EDR)
Usługi i szkolenia
CrowdStrike Falcon Enterprise VELOCITY
Velocity Falcon Enterprise to gotowy pakiet bezpieczeństwa oparty na technologii Falcon Enterprise, rozszerzający ochronę endpointów o EDR/XDR i threat hunting.
Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon COMPLETE
Falcon Complete to w pełni zarządzana usługa MDR, w której CrowdStrike odpowiada za wykrywanie, analizę i reakcję na incydenty bezpieczeństwa.
Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon ENTERPRISE
Falcon Enterprise rozszerza ochronę endpointów o EDR/XDR oraz threat hunting, zapewniając widoczność zdarzeń i możliwość reakcji na zaawansowane ataki.
Wycena indywidualna
Zobacz więcej