关于火眼工具失窃事件的应急处置 – 作者:华云安huaun

01 事件概述

2020年12月8日,火眼公司(FireEye)在其官方网站发布公告称“高度复杂的威胁行动者”攻击了其内网并窃取了用于测试客户网络的红队(Red Team)工具。火眼以高级网络威胁防护服务为自身定位的美国企业,为其客户提供红队工具,实现可以模拟多个威胁行为体活动以进行安全测试评估。

v2-a7edc74c511f5dd4293e855af7baa6dc_720w.jpg

火眼表示,被窃取的红队工具的范围从用于自动化侦察的简单脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架。

v2-b197e41dd952909b4c3cb2955c0f69c1_720w.jpg

其声称泄漏工具不包含0day漏洞利用工具,被盗取的部分红队工具此前已发布给社区,或已经在其开源虚拟机测试套件CommandoVM中。

v2-17b730f06e2a8bfb35c62f1714fadec9_720w.jpg

02 应急更新

被窃取的红队工具扩散后,工具利用有可能被迅速泛化,被用于展开大范围的撒网攻击尝试,如扩展僵尸网络或通过勒索软件、挖矿木马等方式进行大面积的价值收割。这种失控的泄露将降低了攻击成本,专属定向攻击能力快速转化为普遍性的攻击能力,造成大面积的安全事件。

从目前获悉的事件情况及火眼公司所公布的防护规则来判断,此次事件目前所涉及的漏洞清单以及对应的补丁链接如下(建议及时进行补丁更新):

v2-833c552938a17084c23a31ca642472a4_720w.jpg

03 参考链接

[1]《未经授权访问FireEye红队工具》

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

来源:freebuf.com 2020-12-11 11:31:51 by: 华云安huaun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论