网络安全公司“火眼”被黑 红队工具被盗

事件概述

当地时间12月8日,据FireEye博客公布,某高级组织盗取了FireEye红队工具。由于暂不能确定攻击者将自己使用被盗工具还是公开披露,所以FireEye率先在博客中发布对策,以使各组织够提前采取应对措施。

被盗工具简介

被盗红队工具的种类包括用于自动侦察的简单脚本到与CobaltStrike、Metasploit等技术类似的整体框架。其中许多工具已向社区或在其开源虚拟机CommandoVM中发布。这些工具中一些是经过修改以逃避基本安全检测机制的公开工具,另一些工具和框架则是由红队内部开发。

此次被盗的红队工具中并不包含 0day 漏洞的利用,也不包含未公开技术

目前还暂未检测到工具被散播和使用。

识别检测方法

为了帮助组织能够识别到这些工具,FireEye 已发布OpenIOC,Yara,Snort和ClamAV检测规则。具体规则详见:

https://github.com/fireeye/red_team_tool_countermeasures

备注:规则列表还会持续更新

需特别关注的CVE

此外,修复以下漏洞能有效限制红队工具发挥作用:

CVE-2014-1812Windows 本地提权
CVE-2016-0167Microsoft Windows 老版本本地提权
CVE-2017-11774Microsoft Outlook中通过诱导用户手动执行文档(钓鱼)实现RCE
CVE-2018-13379Fortinet Fortigate SSL VPN预授权任意文件读取
CVE-2018-15961Adobe ColdFusion RCE(可用于上传JSP Web shell)
CVE-2018-8581Microsoft Exchange Server 特权提升
CVE-2019-0604Microsoft Sharepoint RCE
CVE-2019-0708Windows 远程桌面服务(RDS)RCE
CVE-2019-11510Pulse Secure SSL VPNs 预授权任意文件读取
CVE-2019-11580Atlassian Crowd RCE
CVE-2019-19781Citrix应用交付控制器和Citrix网关的RCE
CVE-2019-3398Confluence需经认证的 RCE
CVE-2019-8394ZoHo ManageEngine ServiceDesk Plus 预授权任意文件上传
CVE-2020-0688Microsoft Exchange RCE
CVE-2020-10189ZoHo ManageEngine Desktop Central RCE
CVE-2020-1472Microsoft Active Directory 特权提升

参考链接:

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

Spread the word. Share this post!

Meet The Author

Leave Comment