从“FireEye被APT组织入侵事件”看攻防对抗
近日,美国网络安全公司 FireEye (中文名:火眼)官方博客连续发布2篇博文,一篇坦诚最近受到了一次高度复杂的网络攻击,造成其用于测试客户安全防御能力的Red Team(红队)工具外泄;另一篇是报道FireEye担心自己的客户被其红队工具所影响,发布了用于反制检测泄漏工具的策略。知情者透露这次攻击是俄罗斯对外情报局所为。
FireEye是一家全球知名的网络安全公司,成立于2004年,总部位于加利福尼亚州的米尔皮塔斯。它在103个国家/地区拥有超过8,500多家客户,全球员工超过3200多名。
作为一家公开上市的美国网络安全公司,FireEye提供用于应对高级网络威胁的自动威胁取证及动态恶意软件防护服务,如高级持续性威胁(APT)和鱼叉式网络钓鱼。
FireEye尚未分享有关被盗的红队工具的详细信息。据悉,这些被盗取的红队工具主要分为以下四类:
1、基于开源项目二次开发后的工具;
2、基于windows二进制文件的工具;
3、专门为FireEye红队开发的实战工具;
4、数据处理工具。
具体来看,这些工具包括了用于自动化侦察的简单脚本到类似于CobaltStrike和Metasploit等框架,规模不一。
为了帮助其他组织机构降低受到这些被公开的红队工具的攻击风险,FireEye还将检测工具分享到了GithHub社区,链接如下:
https://github.com/fireeye/red_team_tool_countermeasures
通过对该项目进行分析,可发现这些红队工具可覆盖ATT&CK攻防矩阵中的执行、持久化、提权、防御规避、凭证访问、发现、横向移动、命令与控制、渗出等阶段,如图所示。
该项目涵盖的311条检测规则包括OpenIOC、Yara、Snort以及 ClamAV这四类,分布如下图所示:
而对于大家比较关心的0day问题,正如FireEye所介绍的,这些红队工具主要用于为FireEye的客户提供基本的渗透测试服务,并没有包含0day漏洞。通过检测规则来看,确实是如此。
近些年来,网络军火泄露事件时有发生,近几年来也发生了许多典型事件:
2015年7月的Hacking Team攻击工具源代码泄露
2016年8月的影子经纪人泄露方程式组织的攻击工具
2017年4月的影子经纪人泄露NSA“永恒之蓝”等系列0day漏洞攻击工具
2019年3月的 APT34的黑客工具泄露
2020年10月的红队工具被逆向重新编译的源代码公开泄露
……
之前笔者曾在读到一句印象深刻的话:“一流国家当棋手,二流国家当棋子,三流国家当棋盘”。作为防守方,如果能作为棋手,站在攻击者的角度思考,掌握攻击者的攻击思路、使用的攻击手段,便能在与攻击者的博弈过程中占得先机。
在近年兴起的红蓝对抗演练中,安全狗通过综合性方案也服务了众多的用户,并积累了一些经验。在最后,希望通过笔者抛砖引玉的总结,能为读者提供一些思路应对未来或有可能发生的类似安全事件:
1、把控暴露的攻击面,提升综合运营监测能力
一是维护者能很清晰地梳理自身主机资产,针对暴露在外的资产进行重点防护;二是实现针对全网漏洞的统一运营管理,三是通过精细化识别流量情况,进行准确的画像,并以统一的平台进行网络隔离安全控制。
2、提升纵深防护与检测能力,铸就安全最后一道围墙
从自身的脆弱性入手后,处理好内部弱口令和配置缺陷,修补可能导致安全薄弱、破坏关键系统数据或导致系统不可用的漏洞。通过一定机制及时进行安全整改加固从而避免被攻击利用,并提升各个维度的入侵检测及防护的手段。在整个过程中,检测和防护关键重要的资产,发现问题可第一时间处理异常情况。
3、内部攻防演练,提升应急响应与溯源分析能力
精准的失陷分析与事件溯源是每个机构梦寐以求的能力。因此,需要内部多进行攻防的演练,从而提升内部专业的人员能力。通过专业的人员来做专业的事,从而有效并结合强大威胁情报,利用大数据分析技术检测分析,抽丝剥茧,快速看清“问题”,帮助安全团队进行安全事故处置、应急响应。
参考链接
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
https://www.picussecurity.com/resource/blog/techniques-tactics-procedures-utilized-by-fireeye-red-team-tools