【安全通告】FireEye 遭网络攻击,红队工具被盗
2020-12-09
事件概述
当地时间12月8日,据FireEye博客公布,某高级组织盗取了FireEye红队工具。由于暂不能确定攻击者将自己使用被盗工具还是公开披露,所以FireEye率先在博客中发布对策,以使各组织够提前采取应对措施。
被盗工具简介
被盗红队工具的种类包括用于自动侦察的简单脚本到与CobaltStrike、Metasploit等技术类似的整体框架。其中许多工具已向社区或在其开源虚拟机CommandoVM中发布。这些工具中一些是经过修改以逃避基本安全检测机制的公开工具,另一些工具和框架则是由红队内部开发。
此次被盗的红队工具中并不包含 0day 漏洞的利用,也不包含未公开技术。
目前还暂未检测到工具被散播和使用。
识别检测方法
为了帮助组织能够识别到这些工具,FireEye 已发布OpenIOC,Yara,Snort和ClamAV检测规则。具体规则详见:https://github.com/fireeye/red_team_tool_countermeasures
备注:规则列表还会持续更新。
需特别关注的CVE
此外,修复以下漏洞能有效限制红队工具发挥作用:
|
CVE-2014-1812 |
Windows 本地提权 |
|
CVE-2016-0167 |
Microsoft Windows 老版本本地提权 |
|
CVE-2017-11774 |
Microsoft Outlook中通过诱导用户手动执行文档(钓鱼)实现RCE |
|
CVE-2018-13379 |
Fortinet Fortigate SSL VPN预授权任意文件读取 |
|
CVE-2018-15961 |
Adobe ColdFusion RCE(可用于上传JSP Web shell) |
|
CVE-2018-8581 |
Microsoft Exchange Server 特权提升 |
|
CVE-2019-0604 |
Microsoft Sharepoint RCE |
|
CVE-2019-0708 |
Windows 远程桌面服务(RDS)RCE |
|
CVE-2019-11510 |
Pulse Secure SSL VPNs 预授权任意文件读取 |
|
CVE-2019-11580 |
Atlassian Crowd RCE |
|
CVE-2019-19781 |
Citrix应用交付控制器和Citrix网关的RCE |
|
CVE-2019-3398 |
Confluence需经认证的 RCE |
|
CVE-2019-8394 |
ZoHo ManageEngine ServiceDesk Plus 预授权任意文件上传 |
|
CVE-2020-0688 |
Microsoft Exchange RCE |
|
CVE-2020-10189 |
ZoHo ManageEngine Desktop Central RCE |
|
CVE-2020-1472 |
Microsoft Active Directory 特权提升 |
参考链接
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
声 明
本安全公告仅用来描述可能存在的安全问题,海王捕鱼不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海王捕鱼以及安全公告作者不为此承担任何责任。海王捕鱼拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经海王捕鱼允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于海王捕鱼
海王捕鱼集团股份有限公司(简称海王捕鱼)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,海王捕鱼在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
海王捕鱼集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:海王捕鱼,股票代码:300369。
