2020年12.08,火眼发布了一则通告,通告显示一个由国家赞助的高度复杂的APT组织偷走了FireEye 红队渗透工具。
其中, 火眼创始人凯文·曼迪亚(Kevin Mandia)亲自发文称:
根据我25年的网络安全经验和对事件的响应,我得出的结论是,我们目睹了一个拥有一流进攻能力的国家的袭击。这次攻击与多年来我们应对的成千上万起事件不同。
攻击者量身定制了其世界一流的功能,专门针对和攻击FireEye。他们在操作安全方面接受过严格的培训,并有纪律和专注地执行。他们秘密采取行动,使用对抗安全工具和法医检查的方法。他们使用了我们或我们的合作伙伴过去从未见过的新颖技术组合。
我们正在与联邦调查局和包括Microsoft在内的其他主要合作伙伴进行积极的调查合作。他们的初步分析支持了我们的结论,即这是使用新技术由国家资助的高度复杂的攻击者的工作。
在迄今为止的调查中,我们发现攻击者针对并访问了某些红队渗透测试工具,这些工具用于测试客户的安全性。这些工具模仿了许多网络威胁参与者(APT组织)的行为,并使FireEye能够为我们的客户提供基本的诊断安全服务。这些工具都没有包含0day漏洞。与保护社区的目标一致,我们正在积极发布方法和手段来检测盗用的Red Team工具的使用。
我们不确定攻击者是否打算使用我们的Red Team工具或公开披露它们。但是,出于谨慎考虑,我们已经为客户和整个社区开发了300多种对策,以尽量减少盗窃这些工具的潜在影响。
文章还提到了
与民族国家的网络间谍活动一致,攻击者主要寻求与某些政府客户有关的信息。虽然攻击者能够访问我们的某些内部系统,但是在我们的调查中,我们没有发现证据表明攻击者从主要系统中窃取了数据,这些数据存储了事件响应或咨询活动中的客户信息或收集的元数据在我们的动态威胁情报系统中使用我们的产品。
链接:
https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
被入侵偷取的工具列表
https://github.com/fireeye/red_team_tool_countermeasures
工具名字以及对应的检测yara
火眼工具的yara规则
snort规则
引擎告警
工具中包含的漏洞信息
声明:本文来自二道情报贩子,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。