事件概述
当地时间12月8日,据FireEye博客公布,某高级组织盗取了FireEye红队工具。由于暂不能确定攻击者将自己使用被盗工具还是公开披露,所以FireEye率先在博客中发布对策,以使各组织够提前采取应对措施。
被盗工具简介
被盗红队工具的种类包括用于自动侦察的简单脚本到与CobaltStrike、Metasploit等技术类似的整体框架。其中许多工具已向社区或在其开源虚拟机CommandoVM中发布。这些工具中一些是经过修改以逃避基本安全检测机制的公开工具,另一些工具和框架则是由红队内部开发。
此次被盗的红队工具中并不包含 0day 漏洞的利用,也不包含未公开技术。
目前还暂未检测到工具被散播和使用。
识别检测方法
为了帮助组织能够识别到这些工具,FireEye 已发布OpenIOC,Yara,Snort和ClamAV检测规则。具体规则详见:
https://github.com/fireeye/red_team_tool_countermeasures
备注:规则列表还会持续更新
需特别关注的CVE
此外,修复以下漏洞能有效限制红队工具发挥作用:
CVE-2014-1812 | Windows 本地提权 |
CVE-2016-0167 | Microsoft Windows 老版本本地提权 |
CVE-2017-11774 | Microsoft Outlook中通过诱导用户手动执行文档(钓鱼)实现RCE |
CVE-2018-13379 | Fortinet Fortigate SSL VPN预授权任意文件读取 |
CVE-2018-15961 | Adobe ColdFusion RCE(可用于上传JSP Web shell) |
CVE-2018-8581 | Microsoft Exchange Server 特权提升 |
CVE-2019-0604 | Microsoft Sharepoint RCE |
CVE-2019-0708 | Windows 远程桌面服务(RDS)RCE |
CVE-2019-11510 | Pulse Secure SSL VPNs 预授权任意文件读取 |
CVE-2019-11580 | Atlassian Crowd RCE |
CVE-2019-19781 | Citrix应用交付控制器和Citrix网关的RCE |
CVE-2019-3398 | Confluence需经认证的 RCE |
CVE-2019-8394 | ZoHo ManageEngine ServiceDesk Plus 预授权任意文件上传 |
CVE-2020-0688 | Microsoft Exchange RCE |
CVE-2020-10189 | ZoHo ManageEngine Desktop Central RCE |
CVE-2020-1472 | Microsoft Active Directory 特权提升 |