12月8日,美国网络安全公司 fireeye (中文名:火眼)官方博客连续发布2篇博文,一篇坦诚最近受到了一次高度复杂的网络攻击,造成其用于测试客户安全防御能力的red team(红队)工具外泄;另一篇是报道fireeye担心自己的客户被其红队工具所影响,发布了用于反制检测泄漏工具的策略。
fireeye客户从美国联邦、州、地方政府,到国际企业都有,甚至与美国国土安全部也有合作关系。该公司并未透露入侵在什么时间发生,具体攻击者是谁,仅指透露攻击团队由一个拥有顶尖入侵能力的国家所资助。据网络安全公司rendition infosec总裁,前nsa黑客威廉斯(jake williams)透露,这次事件与过往俄国攻击者行动相当一致,目前调查也交由联邦调查局(fbi)专家主导,知情者透露这次攻击是俄罗斯对外情报局所为。
泄漏工具及策略分析
据fireeye披露,其被盗工具的涉及范围,从用于自动化侦察的简单脚本到类似于cobaltstrike和metasploit等公开技术的整个框架。他们把许多红队工具收集以后已经发布到开源github社区,其开源渗透攻击的虚拟机地址如下:
https://github.com/fireeye/commando-vm
看其github介绍,里面覆盖了信息收集、漏洞扫描、漏洞利用、c2程序、安全绕过、凭证获取等工具以及一些用于分析、开发、调试的工具。
该系统类似著名的kail渗透系统。
红队工具对应的检测规则的github项目地址如下:
https://github.com/fireeye/red_team_tool_countermeasures
该github项目才发布到现在,已经有1700多人关注。
安恒信息威胁情报中心猎影实验室对该项目进行了详细分析,发现其主要是检测在渗透测试服务过程中涉及的工具,工具包包括入侵的持久化、程序的权限提升、防御的绕过、凭证的获取、横向的移动等各个阶段。目前公布的策略类型包括openioc、yara、snort 和 clamav规则4类,检测规则共311条,规则分布如下:
这4类特征适用的产品如下:
-
恶意程序特征引擎yara和clamav功能类似,yara相对来说扩展性更强,它们一般用于文件检测,常见文件类查杀类产品适用,如某些杀毒软件、apt、edr等产品,当然沙盒类产品也是适用。
-
入侵检测工具snort一般用于流量检测,常用见于dpi、ips、apt等产品。
-
威胁情报共享框架openioc用于情报共享,通常是xml格式,方便转化到其他产品赋能使用,如siem、edr等。
对于大家比较关心的0day问题,fireeye自己发布的文章称,这些工具模仿了许多网络攻击者的行为,主要为fireeye的客户提供基本的渗透测试服务,并没有包含0day漏洞。通过检测策略来看并未发现0day,漏洞列表如下:
目前,有国外安全研究人员使用fireeye泄漏的yara策略在系统中捕获大量相关文件,并将其公布在网上:
通过访问下面地址获取相关ioc信息:
https://docs.google.com/spreadsheets/d/1urat-khtdp7fp15xwkidxo8bd0fzbdkevj2ceyxeors/edit#gid=36102663
我们发现部分样本存在所有杀毒软件无法检测的情况。
事件思考
国内重要活动保障期间,攻击方使用各种oa、cms的0day满天飞,防守方频繁失分。fireeye作为高水平的红队选手,不确定这块信息是否也被盗取。
依稀还记得一伙叫做“影子经纪人”(shadow brokers)的神秘黑客组织窃取了美国nsa的机密文件后,陆续将这些机密外泄,让强大的网络武器掌握在任何人手中,导致后来的wannacry勒索病毒爆发。wannacry勒索病毒攻击者正是利用他们泄露的漏洞利用才掀起一场“血雨腥风”。
针对红队被黑的情况也让我们想到了防守方溯源反制,溯源反制也是热点话题,存在不少成功案例。攻击者的防御意识相对攻击能力来说薄弱一些,使用的工具可能存在不安全的因素,如著名的awvs漏洞扫描工具在低于9.5版本存在远程漏洞,黑客扫描时可能导致黑客自己的电脑被注入木马程序。前段时间,红蓝对抗常用工具cobaltstrike(简称cs)服务端的远程探测方法被公开,也说明防御者也在进步。
龙8app登录的解决方案
目前,安恒信息已经支持相关维度(即文件、流量、情报)的检测产品,已经支持fireeye 被盗红队工具的检测防御,建议部署安恒相关产品,如安恒apt攻击预警平台,检测截图如下:
安信信息客户可通过获取在线或离线升级包,更新平台相关检测规则。
安恒apt攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个apt攻击链,有效发现apt攻击、未知威胁及用户关心的网络安全事件。
关于猎影实验室
猎影实验室是一支关注apt攻防的团队,主要的研究方向包括:收集apt攻击组织&情报、apt攻击检测、apt攻击分析、apt攻击防御、apt攻击溯源以及最新apt攻击手段的研究。
