概要
高度に洗練された国家支援の攻撃者が、FireEye Red Team のツールを盗みました。攻撃者がこれらのツールを所有していると考えており、攻撃者が盗んだツールを自分で使用するつもりなのか、公開するつもりなのかは不明であるため、FireEye はこのブログ投稿で何百もの対策をリリースし、より広範なセキュリティ コミュニティがこれらのツールから身を守ることができるようにします。これらのツール。 FireEye 製品に対策を組み込み、これらの対策をパートナーや政府機関と共有して、悪意のある人物がレッド チーム ツールを悪用する能力を大幅に制限しています。
FireEye GitHub リポジトリの対策のリストは、こちらにあります。
レッドチームのツールとテクニック
レッド チームは、企業のセキュリティ ポスチャに対する潜在的な敵対者の攻撃または悪用機能を模倣するために承認および組織されたセキュリティ プロフェッショナルのグループです。 Red Team の目的は、攻撃が成功した場合の影響を実証し、運用環境で攻撃に対抗する方法を防御側 (Blue Team) に示すことで、企業のサイバー セキュリティを向上させることです。当社は 15 年以上にわたり、世界中のお客様に対してレッド チーム評価を実施してきました。その間に、クライアントのセキュリティ体制を改善するための一連のスクリプト、ツール、スキャナー、および手法を構築してきました。残念ながら、これらのツールは非常に巧妙な攻撃者によって盗まれました。
盗まれたツールは、偵察の自動化に使用される単純なスクリプトから、CobaltStrike や Metasploit などの一般に公開されている技術に似たフレームワーク全体にまで及びます。 Red Team ツールの多くは既にコミュニティにリリースされており、オープンソースの仮想マシンCommandoVMで配布されています。
一部のツールは、基本的なセキュリティ検出メカニズムを回避するように変更された公開ツールです。その他のツールとフレームワークは、レッド チームのために社内で開発されました。
ゼロデイ エクスプロイトや未知の手法はありません
攻撃者が盗んだレッド チームのツールには、ゼロデイ エクスプロイトは含まれていませんでした。これらのツールは、世界中の他のレッド チームによって使用されている、よく知られて文書化された方法を適用します。この盗難によって攻撃者の全体的な能力が大幅に向上するとは考えていませんが、FireEye はそのようなシナリオを防ぐためにできる限りのことを行っています。
FireEye では、これらのツールが攻撃者によって拡散または使用されたことは確認しておらず、セキュリティ パートナーと共にそのような活動を引き続き監視していきます。
コミュニティに役立つ検出
コミュニティがこれらのツールを検出できるようにするために、これらのツールが実際に出現した場合に組織がこれらのツールを特定できるようにするための対策を公開しています。 Red Team ツールの盗難に対応して、OpenIOC、Yara、Snort、ClamAV などの一般公開されているテクノロジーに対する数百の対策をリリースしました。
対策のリストは、こちらの FireEye GitHub リポジトリで入手できます。私たちは検出をリリースしており、新しい検出を開発するか、既存の検出を改良する際に、ホスト、ネットワーク、およびファイルベースのインジケーターの重複する対策で公開リポジトリを更新し続けます。さらに、Red Team ツールの有効性を制限するために対処する必要がある CVE のリストを GitHub ページで公開しています。
FireEye製品は、これらのツールから顧客を保護します
FireEye全体のチームは、お客様とより広範なコミュニティを保護するための対策を構築するために取り組んできました.私たちはこれらの対策を製品に組み込み、これらの対策を国土安全保障省を含むパートナーと共有しました。パートナーは対策を製品に組み込んで、コミュニティに幅広いカバレッジを提供しています。
利用可能な検出シグネチャの詳細については、 GitHub リポジトリを参照してください。
参照: https://www.mandiant.com/resources/blog/unauthorized-access-of-fireeye-red-team-tools
Comments