关于火眼工具失窃事件的应急处置 – 作者:华云安huaun

01 事件概述

2020年12月8日，火眼公司（FireEye）在其官方网站发布公告称“高度复杂的威胁行动者”攻击了其内网并窃取了用于测试客户网络的红队（Red Team）工具。火眼以高级网络威胁防护服务为自身定位的美国企业，为其客户提供红队工具，实现可以模拟多个威胁行为体活动以进行安全测试评估。

火眼表示，被窃取的红队工具的范围从用于自动化侦察的简单脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架。

其声称泄漏工具不包含0day漏洞利用工具，被盗取的部分红队工具此前已发布给社区，或已经在其开源虚拟机测试套件CommandoVM中。

02 应急更新

被窃取的红队工具扩散后，工具利用有可能被迅速泛化，被用于展开大范围的撒网攻击尝试，如扩展僵尸网络或通过勒索软件、挖矿木马等方式进行大面积的价值收割。这种失控的泄露将降低了攻击成本，专属定向攻击能力快速转化为普遍性的攻击能力，造成大面积的安全事件。

从目前获悉的事件情况及火眼公司所公布的防护规则来判断，此次事件目前所涉及的漏洞清单以及对应的补丁链接如下（建议及时进行补丁更新）：

03 参考链接

[1]《未经授权访问FireEye红队工具》

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

来源：freebuf.com 2020-12-11 11:31:51 by: 华云安huaun