FireEye紅隊工具遭盜取,騰訊安全已檢測到數百個符合規則的利用樣本
12月8日,美國網路安全公司 FireEye 官方部落格釋出公告稱“本公司遭到某政府駭客入侵,FireEye 用於檢測客戶安全防禦能力的紅隊工具(Red Team Tool)被盜"。騰訊安全專家認為,本次洩露的紅隊工具(Red Team Tool)可能對政企機構網路安全帶來嚴重挑戰,騰訊安全團隊已嚴陣以待,隨時準備攔截攻擊者使用此類工具的惡意行為。
根據 FireEye 公佈的資訊,被盜的紅隊工具包括用於自動偵察的簡單指令碼,類似於 CobaltStrike 和 Metasploit 等公開技術的整個框架,沒有 0day 漏洞。但“駭客使用全新技術竊取FireEye掌握的安全工具套件,這可能成為全球新一波攻擊浪潮的起點。”
Fireeye官方公告(https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html)機翻版截圖如下:
“翻譯翻譯”這段話,就是Fireeye公告說,“我們是世界級的大牌安全公司,我們很強,但不幸被專業駭客入侵了,我們平常幹活用的一些工具被駭客拿走了。這些工具可能被入侵者用來幹壞事……“Fireeye公司已將這些工具的檢測規則公開到Github:(https://github.com/fireeye/red_team_tool_countermeasures)
安全專家認為,該事件的危險性可比2016年駭客組織“影子經紀人”入侵另一個駭客組織“方程式組織”(Equation Group),然後將其攻擊工具公之於眾。這些被公開的工具包括來自美國國安局(NSA)的網路戰武器,其中最著名的是“永恆之藍”系列漏洞利用工具包,該事件迫使微軟公司緊急釋出多個安全更新。
2016年的這起攻擊事件影響至今,4年來,這些被公開的、來自美國國安局(NSA)的網路戰武器被不計其數的攻擊者利用,製造了數不清的網路入侵破壞事件,其中包括臭名昭著的WannaCry勒索蠕蟲事件。至今仍有大量挖礦木馬、勒索病毒攻擊者會使用、攜帶這些工具對政企機構網路進行入侵滲透。
騰訊安全團隊對此次Fireeye被入侵Red Team工具被盜事件高度關注,根據Fireeye公開的檔案,在已洩露的紅隊工具武器庫中,包括部分已知漏洞利用工具。這些漏洞利用工具,騰訊安全團隊在相關漏洞資訊披露後均已具備檢測能力。我們已根據Fireeye公開的檢測規則升級了騰訊安全全系列產品,目前已支援檢測、防禦Fireeye紅隊工具惡意利用攻擊。
根據Fireeye公開發布的檢測規則,我們已檢測到具備這些特徵的惡意樣本241個,包括竊密工具、Windows/Linux平臺後門、Loader、木馬功能外掛、釣魚文件、漏洞利用程式。
騰訊安全產品應對Fireeye紅隊工具洩露的檢測清單如下:
應用場景 | 安全產品 | 解決方案 |
威 脅 情 報 | 騰訊T-Sec 威脅情報雲查服務 (SaaS) | 1)Fireeye紅隊工具利用樣本相關IOCs已入庫。 各類安全產品可透過“威脅情報雲查服務”提供的介面提升威脅識別能力。可參考:https://cloud.tencent.com/product/tics |
騰訊T-Sec 高階威脅追溯系統 | 1)Fireeye紅隊工具利用樣本相關資訊和情報已支援檢索。 網管可透過威脅追溯系統,分析日誌,進行線索研判、追溯網路入侵源頭。T-Sec高階威脅追溯系統的更多資訊,可參考:https://cloud.tencent.com/product/atts | |
雲原生安全 防護 | 雲防火牆 (Cloud Firewall,CFW) | 基於網路流量進行威脅檢測與主動攔截,已支援: 1)Fireeye紅隊工具利用樣本關聯的IOCs已支援識別檢測; 2)支援檢測Fireeye紅隊工具包相關漏洞利用的檢測。
有關雲防火牆的更多資訊,可參考: |
騰訊T-Sec 主機安全 (Cloud Workload Protection,CWP) | 1)已支援查殺Fireeye紅隊工具利用樣本;
騰訊主機安全(雲鏡)提供雲上終端的防毒防毒、防入侵、漏洞管理、基線管理等。關於T-Sec主機安全的更多資訊,可參考:https://cloud.tencent.com/product/cwp | |
騰訊T-Sec 安全運營中心 | 基於客戶雲端安全資料和騰訊安全大資料的雲安全運營平臺。已接入騰訊主機安全(雲鏡)、騰訊御知等產品資料匯入,為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。
關於騰訊T-Sec安全運營中心的更多資訊,可參考:https://s.tencent.com/product/soc/index.html | |
非雲企業安全防護 | 騰訊T-Sec 高階威脅檢測系統 (騰訊御界) | 支援檢測Fireeye紅隊工具利用樣本。
關於T-Sec高階威脅檢測系統的更多資訊,可參考: https://cloud.tencent.com/product/nta |
騰訊T-Sec 終端安全管理系統 (騰訊御點) | 已支援查殺符合Fireeye紅隊工具利用的惡意檔案。
騰訊御點提供企業終端的防毒防毒、防入侵、漏洞管理、基線管理等能力,關於T-Sec終端安全管理系統的更多資料,可參考:https://s.tencent.com/product/yd/index.html
|
注:
FireEye是一家公開上市的美國網路安全公司,提供用於應對高階網路威脅的自動威脅取證及動態惡意軟體防護服務,如高階持續性威脅(APT)和魚叉式網路釣魚(Spear phishing)。FireEye是第一家由美國國土安全部頒發認證的網路安全公司,該公司曾多次披露世界各地與國家背景有關的專業駭客攻擊活動。
IOCs
MD5
b9c7deb0d1783c971f7eb9d08ad9c8c8
f4a4c34ce46490fec6ce00fedd1a4091
6065e2888e1d8dc6716cde626a7011ae
618e30a0f5aa6119ea7687399227e776
d6a69f04e8747428f7dab5b03b50e7fa
e78cfa3c8c63eff71020f4f709321a2e
9cb1fa49d92d6473693acf507802bfae
055cda6fdd1816579192667d59b9bf63
1985ec69f39400e1c6acbe6f31d04906
ffb41e9ffd824784b6ab5f24fabcad14
91aeba7d239fb32ad596f86dfd0c283e
9cacdb4b14a94bff07ce9cde90f6680a
d2be8c7ab64648efd20ea60defc8348f
d6c86ad30833bf1705c66d7c39dc14f6
2744f6cd65f3224acc15da1f376c2c89
29889d4e0257fcb9b2115fbaf60a288d
826257e6b8b3c6ad16e80078ee9d8ead
37821cc1570359bffe8a39c232313be7
063a21668fac6562e947322855b1c8f8
18b4b628af390212182fc083946e0f92
8ec65a8e0267e9a2cb3305556daa394d
457af86f65e9a9cf90c8191970bc5024
b997b8b40e229a14d59bb50f95650558
bf18a516dae5567acaf57899085b3d26
c21667b26a69d1c59e34b7c72b213afc
6aa5a7cb62a32e13b36f66a30de55f64
2aa34871b1d36c01896968050c662d18
d507987ed2022e929ec5b43a002a8d6f
e66f9d44e3eead16613ca5cf2f299f4d
94f691d9e79c7035c1b4bc1c183cc77e
08710f09afdb9824d76b7e74a7ff619a
c2f04d44cb2bbdcc9e24869ec8d09af5
6106ab1ea4b9b422e5ca797f5cc36f10
ce58aab12a9a31173cd8c99b12ef00f5
00944e3901e8df234bdef456888389fe
45368240409933f9ea667f49c27d337a
a586e48af444bfcea181d10eb1f16c10
8711071f5327cb7dc43525e35d541560
bbaca7cb1ba8f613cd50c86695e8dd7c
3452fcdc86c04d73b9d6e248360aa70d
99bca59e14c269c791068055da192fec
5a30d955c13eb19c2b3d059257d141b5
c60cd46a33777c4bbad2afafb6be833a
a9813ad9955e393f3726e2e1181ba57e
67e49fbe2a0a11971d3f3b9cff799f35
50f6d6a572850bb9d54db53f6b819338
3e4a6982f9b4bc0e52644a0ed1068257
37e88291c8b7106b0d02edb76fe58f22
30b40f4c88cc0072f143c4123ffc2bbc
4917546cbfe983f87b5a4ed516f37913
66e0681a500c726ed52e5ea9423d2654
b188cec9b3b6d3ea2c51ee231a8a02d5
a33091786d1e261bda3dc34c1664d536
24e1ee25aab475d362e4d41d70fd43c7
f7f5201ea25bd7872547d18fcd309ec3
2439cc085aecc4b5e994d14fbff8d317
e8de957b31e47a968c10dcfca4151076
c280980a8d9b104090f935778f7ff16d
17fcbb747fd75d2c4ad8fbe7cff458ac
032c26166bff2fe4e99af44e0c2f66e7
37dce134614bfe61c2865a245528f215
7ceb7f3dc2f65aa829e65ee7650da010
1620245c600b1e2df9ddf5954bfcf742
c4f633401814ac5fd6bf40aedcdf2647
1fa0665a44cfb8ce46a47ff4e259f0b1
315b9d17983236af8283fe610b8b8a27
dae087e18ea7ba404a6aaac56c51c6de
50842330e342a17974dcfc5a742a78b8
050a3b5f2889e021f1e324fb8296ca31
69e51ef01af747fbeeadd5944f829f5b
cf22ebafd3860942810595c2466ad3c0
39aa003268c99ceeb9007510a42252df
8a664cc39c5bf13cec1a94fc4f7cfc32
7d280516fc77a4ca07fbd61dfb27702b
40d0bd5be5b7fd2e16d1e90daf79275a
d01a5bac93efd751471d2a251fe03d1f
3925eaf7944f5a000d781c32745e4ca3
fa4f1a53806ed122ab35edf8a190048c
785967c4f252639d2aaff0063093f7cc
302db7655a76c6453489329b81958414
be46e04964bf1efce9a91b06fc4f2302
463e2438a409feada7d47ebdeb91dc5d
ed00e37b7f294a775fea7870c534b9bc
f1579433e33a0fb01b84ac6f46d23ce5
39176c4f54ba908ac98150e54ab95f68
3fdc613293f94f469d4e5c6a12b95dc8
8d1c1ea43d70713ddf1694336e0be4f5
0c7a7ff5442b5240e481f94d8e94306b
ab0a26d8039adda9123b2340ace09639
c92c1364cdcf0d43b3b7028902470c0f
7f3f4400d302db11b00f78f58b3efb9a
f8dcf98925f5ab71c6d4360c37d50d83
22a1fa6fe8d3cb18986f186893495f60
1278663528c7646542ae2f8a3a2d5abb
00efae70ad1e80c2229f6b105ce7c76c
b78e37d0dea7370c95162f591ca7e5a0
8bb9caac1d7df97c43ab283fd6704c2c
fedc8c554106e8380987bed396136402
f9e2b1007c4752b808b8acb0060c12cb
3221d60cc531d6f56844f75d6fe8830e
f28968705737f43ec7f253e22e1b7146
3c48ac4312765b53133ffde4d67dd410
2ab45bf1db2f0e797116b26248580704
8028bb01477b32ff99b627d75444bd22
dd85dd41958ff70542a5373c0bc949c8
f7b9b2e1c9bf9f1eaa45ea3be915e581
c16d31577d4ddb6869f7e2a7977b7c42
6221f936ccfce259f0b1b6da063742c9
22faa16e6f79e25b81b60b9bb80a2fdf
5c0a5d1df830dcd6987c9bf0f3ec68c5
bae847e8f1be533f52db37112dd93650
4dfcd5e9710ab35fbcaf40ed74f18295
4bc217374731ae8289936ba2e422af76
0b1110eeceee2d24cb4e50ac00f62e13
7477da8b06ad7cf0b404ccd4bee76b75
ee48aa8d8768b023fb1dc1e4f43a1644
7748fd8d4294b0005d4d1ab6cf041461
2cfb8b63f78bfcf4ea1f21961b9cf49e
220919b6f36ae9505d13429e4013be9f
55c2a8bd2cd2e882fa3ca9065de263a1
70d8633492822c28e6cdf61250917c08
4997b818540e90aca36c910e9422009f
ce35a560faca8d2193e2f6fb1d5bbf84
9d38a2d307e6b95861d00603f18a2a4d
93743e4ba5b3607729304a7dd14b2ced
106ef839714757ba77228be9987669e0
7124347bfd1259ef51933fb262102f3e
8900e6e2e028afa95a4f6681c8adbb36
3fb9341fb11eca439b50121c6f7c59c7
00825e0b95f383594c423058436c9cbd
158eb6eaaf4728e485a4f03d70e4eaa7
65254c999e93859b1441eda254cc8903
ca1631eabff44c7a3130e9e2ed678d13
d977a95fd2932b7883aaad9bd5558475
d816dc166a73153560f618df02a47793
5e8343ce6c6e2894f46648c532b241e3
e36c6c58da6f5906294c7358afa9d241
2990b693444009c177efffa10c5c26bb
044417089984eaf3c5ba42416959683a
82dadcfdddc0d12a53f0d4c57e92bd36
8d4334a12b3004c16a39fd16c4f73db3
bc4fc9bdfa9cb4599396c25ff32998bb
f41074be5b423afb02a74bc74222e35d
e89efa88e3fda86be48c0cc8f2ef7230
995120b35db9d2f36d7d0ae0bfc9c10d
f7d9961463b5110a3d70ee2e97842ed3
f20824fa6e5c81e3804419f108445368
5e14f77f85fd9a5be46e7f04b8a144f5
dd8805d0e470e59b829d98397507d8c2
7af24305a409a2b8f83ece27bb0f7900
100d73b35f23b2fe84bf7cd37140bf4d
4e7e90c7147ee8aa01275894734f4492
edcd58ba5b1b87705e95089002312281
66cdaa156e4d372cfa3dea0137850d20
5125979110847d35a338caac6bff2aa8
04eb45f8546e052fe348fda2425b058c
e7beece34bdf67cbb8297833c5953669
8025bcbe3cc81fc19021ad0fbc11cf9b
9c8eb908b8c1cda46e844c24f65d9370
9e85713d615bda23785faf660c1b872c
cdf58a48757010d9891c62940c439adb
a107850eb20a4bb3cc59dbd6861eaf0f
a8b5dcfea5e87bf0e95176daa243943d
9dcb6424662941d746576e62712220aa
4bf96a7040a683bd34c618431e571e26
0a86d64c3b25aa45428e94b6e0be3e08
79259451ff47b864d71fb3f94b1774f3
82773afa0860d668d7fe40e3f22b0f3e
3651f252d53d2f46040652788499d65a
98ecf58d48a3eae43899b45cec0fc6b7
44887551a47ae272d7873a354d24042d
6f04a93753ae3ae043203437832363c4
c74ebb6c238bbfaefd5b32d2bf7c7fcc
a91bf61cc18705be2288a0f6f125068f
e91670423930cbbd3dbf5eac1f1a7cb6
c0598321d4ad4cf1219cc4f84bad4094
cf752e9cd2eccbda5b8e4c29ab5554b6
83ed748cd94576700268d35666bf3e01
45736deb14f3a68e88b038183c23e597
68acf11f5e456744262ff31beae58526
6efb58cf54d1bb45c057efcfbbd68a93
3bb34ebd93b8ab5799f4843e8cc829fa
4414953fa397a41156f6fa4f9462d207
e4efa759d425e2f26fbc29943a30f5bd
3b926b5762e13ceec7ac3a61e85c93bb
2b686a8b83f8e1d8b455976ae70dab6e
dfbb1b988c239ade4c23856e42d4127b
3322fba40c4de7e3de0fda1123b0bf5d
fa255fdc88ab656ad9bc383f9b322a76
590d98bb74879b52b97d8a158af912af
11b5aceb428c3e8c61ed24a8ca50553e
848837b83865f3854801be1f25cb9f4d
05b99d438dac63a5a993cea37c036673
3e61ca5057633459e96897f79970a46d
4410e95de247d7f1ab649aa640ee86fb
12c3566761495b8353f67298f15b882c
7e6bc0ed11c2532b2ae7060327457812
f59095f0ab15f26a1ead7eed8cdb4902
152fc2320790aa16ef9b6126f47c3cca
9f401176a9dd18fa2b5b90b4a2aa1356
383161e4deaf7eb2ebeda2c5e9c3204c
9529c4c9773392893a8a0ab8ce8f8ce1
9ccda4d7511009d5572ef2f8597fba4e
ece07daca53dd0a7c23dacabf50f56f1
013c7708f1343d684e3571453261b586
09bdbad8358b04994e2c04bb26a160ef
562ecbba043552d59a0f23f61cea0983
0b1e512afe24c31531d6db6b47bac8ee
4fd62068e591cbd6f413e1c2b8f75442
4022baddfda3858a57c9cbb0d49f6f86
4326a7e863928ffbb5f6bdf63bb9126e
db0eaad52465d5a2b86fdd6a6aa869a5
8c91a27bbdbe9fb0877daccd28bd7bb5
d93100fe60c342e9e3b13150fd91c7d8
01d68343ac46db6065f888a094edfe4f
a495c6d11ff3f525915345fb762f8047
e0683f8ee787313cfd2c61cd0995a830
6a9a114928554c26675884eeb40cc01b
294b1e229c3b1efce29b162e7b3be0ab
6902862bd81da402e7ac70856afbe6a2
4456e52f6f8543c3ba76cb25ea3e9bd2
b8415b4056c10c15da5bba4826a44ffd
d7cfb9fbcf19ce881180f757aeec77dd
226b1ac427eb5a4dc2a00cc72c163214
2398ed2d5b830d226af26dedaf30f64a
24a7c99da9eef1c58f09cf09b9744d7b
aeb0e1d0e71ce2a08db9b1e5fb98e0aa
2e67c62bd0307c04af469ee8dcb220f2
d5d3d23c8573d999f1c48d3e211b1066
d0a830403e56ebaa4bfbe87dbfdee44f
f3dd8aa567a01098a8a610529d892485
7c2a06ceb29cdb25f24c06f2a8892fba
41b70737fa8dda75d5e95c82699c2e9b
eeedc09570324767a3de8205f66a5295
8d949c34def898f0f32544e43117c057
b66347ef110e60b064474ae746701d4a
25a97f6dba87ef9906a62c1a305ee1dd
82e33011ac34adfcced6cddc8ea56a81
150224a0ccabce79f963795bf29ec75b
fbefb4074f1672a3c29c1a47595ea261
7f8102b789303b7861a03290c79feba0
部分PDB資訊
D:\development\Excavator\x64\Release\Excavator-Reflector.pdb
SharPersist.pdb
Z:\vmshared\Tools\InveighZero\Inveigh\obj\Debug\Inveigh.pdb
C:\Users\Rohan\Documents\GitHub\SharpHound3\SharpHound3\obj\Release\SharpHound.pdb
C:\Users\innotec\Downloads\UsbRU\Rubeus\obj\Debug\UsbGE.pdb
C:\Users\BKuthy\Downloads\Rubeus-master\Rubeus-master\Rubeus\obj\Debug\Rubeus.pdb
C:\Users\HH\Documents\nccfsas-main\nccfsas-main\Tools\SharpZeroLogon\SharpZeroLogon\obj\Release\SharpZeroLogon.pdb
C:\Users\dream\Downloads\nccfsas-main\nccfsas-main\Tools\SharpZeroLogon\SharpZeroLogon\obj\Debug\SharpZeroLogon.pdb
F:\Projects_work\Toolset\Rubeus-master\Rubeus\obj\Debug\Rubeus.pdb
C:\GadgetToJScript-master\GadgetToJScript\obj\x86\Release\GadgetToJScript.pdb
C:\Users\ALEEM\Downloads\Compressed\SharpView-master\SharpView-master\SharpView\obj\Release\SharpView.pdb
相關文章
- 以紅隊視角看FireEye武器洩漏事件事件
- 符合功能安全要求的動態測試工具-TESSY
- 騰訊雲容器安全已支援檢測Apache Log4j2漏洞Apache
- 15個漏洞詳情,FireEye被盜網路武器庫分析
- 火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號黑客
- GitHub 安全警告已檢測出 400 多萬個漏洞Github
- win10系統啟動遊戲提示檢測到遊戲違反安全規則怎麼辦Win10遊戲
- 開源一個程式碼規範檢測工具
- 初級安全入門——安全漏洞的檢測與利用
- Klocwork — 符合功能安全要求的自動化靜態測試工具
- [PHP 安全] pcc —— PHP 安全配置檢測工具PHP
- 通過規則引擎跟蹤Java執行狀態的檢測工具:BytemanJava
- 映象規範檢測工具釋出
- 符合 iview 資料規則的省市區三級聯動View
- modsecurity黑白名單以及規則檢測模式配置模式
- 《安全測試常用的幾個工具》
- 網路入侵檢測規避工具fragrouter
- GitHub遭黑客攻擊:竊取數百原始碼並勒索比特幣Github黑客原始碼比特幣
- 定性檢測的樣本量估算之精確概率法
- 快取區溢位檢測工具BED快取
- 外媒稱 iOS 12 的新安全機制已遭破解iOS
- 【java規則引擎】規則引擎RuleBase中利用觀察者模式Java模式
- 百款防毒軟體測試:病毒樣本的處理過程(轉)防毒
- 有哪些可以檢測文章違規資訊的工具?這個你可以試試
- 微信域名檢測線上批次檢測如何實現?——利用域名檢測api介面實現批次檢測工具教程API
- CSS樣式命名規則CSS
- 便捷的業務規則桌面工具
- 實現一個符合 Promise/A+ 規範的 MyPromisePromise
- 從百聞牌到MOBA——遊戲底層規則抽象邏輯探究遊戲抽象
- 原創度檢測工具哪個好?文章原創度檢測軟體是這樣提高原創度的
- C語言的本質(37)——makefile之隱含規則和模式規則C語言模式
- 騰訊安全推出御界NDR「橫移檢測版」,全面檢測域滲透攻擊
- 【網路安全】6款常見的Webshell檢測工具!Webshell
- 【java規則引擎】一個基於drools規則引擎實現的數學計算例子Java
- 蘋果緊急修復三枚已遭在野利用的 iOS 0day蘋果iOS
- [原創]發一個批量檢測xcode ghost病毒的檢測工具XCode
- medini analyze — 符合ISO 26262 的功能安全平臺工具
- 如何實現一個符合promiseA+規範的promisePromise