安全公司FireEye武器泄漏事件分析 发布时间:2020-12-11 15:51:00 来源:


12月8日,美国网络安全公司 FireEye (中文名:火眼)官方博客连续发布2篇博文,一篇坦诚最近受到了一次高度复杂的网络攻击,造成其用于测试客户安全防御能力的Red Team(红队)工具外泄;另一篇是报道FireEye担心自己的客户被其红队工具所影响,发布了用于反制检测泄漏工具的策略。

 

FireEye客户从美国联邦、州、地方政府,到国际企业都有,甚至与美国国土安全部也有合作关系。该公司并未透露入侵在什么时间发生,具体攻击者是谁,仅指透露攻击团队由一个拥有顶尖入侵能力的国家所资助。据网络安全公司Rendition INfosec总裁,前NSA黑客威廉斯(Jake Williams)透露,这次事件与过往俄国攻击者行动相当一致,目前调查也交由联邦调查局(FBI)专家主导,知情者透露这次攻击是俄罗斯对外情报局所为。

泄漏工具及策略分析

据FireEye披露,其被盗工具的涉及范围,从用于自动化侦察的简单脚本到类似于CobaltStrike和Metasploit等公开技术的整个框架。他们把许多红队工具收集以后已经发布到开源Github社区,其开源渗透攻击的虚拟机地址如下:

https://github.com/fireeye/commando-vm

看其Github介绍,里面覆盖了信息收集、漏洞扫描、漏洞利用、C2程序、安全绕过、凭证获取等工具以及一些用于分析、开发、调试的工具。

该系统类似著名的Kail渗透系统。

红队工具对应的检测规则的Github项目地址如下:

https://github.com/fireeye/red_team_tool_countermeasures

该Github项目才发布到现在,已经有1700多人关注。

 

安恒信息威胁情报中心猎影实验室对该项目进行了详细分析,发现其主要是检测在渗透测试服务过程中涉及的工具,工具包包括入侵的持久化、程序的权限提升、防御的绕过、凭证的获取、横向的移动等各个阶段。目前公布的策略类型包括OpenIOC、Yara、Snort 和 ClamAV规则4类,检测规则共311条,规则分布如下:

这4类特征适用的产品如下:

  • 恶意程序特征引擎Yara和ClamAV功能类似,Yara相对来说扩展性更强,它们一般用于文件检测,常见文件类查杀类产品适用,如某些杀毒软件、APT、EDR等产品,当然沙盒类产品也是适用。

  • 入侵检测工具Snort一般用于流量检测,常用见于DPI、IPS、APT等产品。

  • 威胁情报共享框架OpenIOC用于情报共享,通常是XML格式,方便转化到其他产品赋能使用,如SIEM、EDR等。

 

对于大家比较关心的0day问题,FireEye自己发布的文章称,这些工具模仿了许多网络攻击者的行为,主要为FireEye的客户提供基本的渗透测试服务,并没有包含0day漏洞。通过检测策略来看并未发现0day,漏洞列表如下:

目前,有国外安全研究人员使用fireeye泄漏的yara策略在系统中捕获大量相关文件,并将其公布在网上:

通过访问下面地址获取相关IOC信息:

https://docs.google.com/spreadsheets/d/1uRAT-khTdp7fp15XwkiDXo8bD0FzbdkevJ2CeyXeORs/edit#gid=36102663

我们发现部分样本存在所有杀毒软件无法检测的情况。

 

事件思考

国内重要活动保障期间,攻击方使用各种OA、CMS的0day满天飞,防守方频繁失分。FireEye作为高水平的红队选手,不确定这块信息是否也被盗取。

依稀还记得一伙叫做“影子经纪人”(Shadow Brokers)的神秘黑客组织窃取了美国NSA的机密文件后,陆续将这些机密外泄,让强大的网络武器掌握在任何人手中,导致后来的WannaCry勒索病毒爆发。WannaCry勒索病毒攻击者正是利用他们泄露的漏洞利用才掀起一场“血雨腥风”。

针对红队被黑的情况也让我们想到了防守方溯源反制,溯源反制也是热点话题,存在不少成功案例。攻击者的防御意识相对攻击能力来说薄弱一些,使用的工具可能存在不安全的因素,如著名的AWVS漏洞扫描工具在低于9.5版本存在远程漏洞,黑客扫描时可能导致黑客自己的电脑被注入木马程序。前段时间,红蓝对抗常用工具CobaltStrike(简称CS)服务端的远程探测方法被公开,也说明防御者也在进步。

 

解决方案

目前,安恒信息已经支持相关维度(即文件、流量、情报)的检测产品,已经支持FireEye 被盗红队工具的检测防御,建议部署安恒相关产品,如安恒APT攻击预警平台,检测截图如下:

安信信息客户可通过获取在线或离线升级包,更新平台相关检测规则。

 

安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。

同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。

关于猎影实验室

猎影实验室是一支关注APT攻防的团队,主要的研究方向包括:收集APT攻击组织&情报、APT攻击检测、APT攻击分析、APT攻击防御、APT攻击溯源以及最新APT攻击手段的研究。

上一篇:没有了
分享到: