Door Anoniem: Door Anoniem: Erik Westhovens heeft een heel ander verhaal. Zie DutchIT Channel. https://www.dutchitchannel.nl/news/464047/erik-westhovens-crowdstrike-zal-moeten-onderzoeken-of-er-geen-sprake-is-van-supplychain-attack In deze alerts zaten twee meldingen. de eerste dat er malicious content was gevonden (een infostealer) en de tweede dat er malicious connecties waren naar Ip adressen met een slechte reputatie. In de tijdlijn kan ik dan zien dat de alert getriggerd werd door de service. CSagent.sys was de eerste met de infostealer waarvan we nu weten dat het een false positive is. Het is gewoon functionaliteit van de system driver. De tweede lijkt een downloader te zijn die content download van een delivery network. Echter lijkt het naar een IP adres met een bad reputation. Helaas kunnen we dat IP adres niet zien omdat de testmachines meteen een bluescreen geven en de sensor data dan weg is. Crowdstrike zal zeker moeten gaan onderzoeken of er hier geen sprake is van een supplychain attack. Zo'n ...