Şirket, arızanın 291. Kanal olarak adlandırdığı kanallardan birinde olduğunu söyledi. Cumartesi günkü teknik blog yazısıDosya, “C:WindowsSystem32driversCrowdStrike” adlı bir dizinde ve “C-00000291-” ile başlayıp “.sys” ile biten bir dosya adıyla depolanıyor. CrowdStrike, dosyanın konumuna ve adına rağmen, dosyanın bir Windows çekirdek sürücüsü olmadığında ısrar etti.
Kanal Dosyası 291, Falcon sensörüne “adlandırılmış boru” yürütmesinin nasıl değerlendirileceğiyle ilgili bilgileri iletmek için kullanılır. Windows sistemleri bu boruları sistemler arası veya işlem içi iletişim için kullanır ve kendi başlarına bir tehdit oluşturmazlar — ancak kötüye kullanılabilirler.
“04:09 UTC’de gerçekleşen güncelleme, ortak C2 tarafından kullanılan yeni gözlemlenen, kötü amaçlı adlandırılmış kanalları hedef almak için tasarlanmıştır. [command and control] Teknik blog yazısında, “Siber saldırılarda çerçeveler” açıklaması yapıldı.