FireEye 红队工具被盗事件防护方案

2020-12-11

一. 综述

当地时间12月8日，安全公司FireEye发布博客表示，其内部网络遭到某高级组织攻击，FireEye红队工具箱遭窃取。

据FireEye称，此次被盗的红队工具主要用来为其客户提供基本的渗透测试服务，其中并不包含 0day 漏洞的利用和未公开技术。所涉及工具包含开源工具、开源工具的二次开发版本以及部分自研武器化工具。从工具用途看基本覆盖了包括持久化、权限提升、防御绕过、凭证获取、域内信息收集、横向移动等攻击生命周期的各个阶段。其中部分工具此前已被发布到社区和开源虚拟机CommandoVM中。

被窃的红队工具箱就像一个定时炸弹，无论攻击者是自己使用被盗工具还是公开披露都将成为重大威胁，所以为了使各组织能提前采取应对措施，FireEye已发布对策。海王捕鱼也在第一时间对FireEye公开的对策进行了分析，现已能针对被盗工具和其涉及的漏洞提供检测及防护能力。

参考链接：

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

二. 技术防护方案

2.1 FireEye官方对策

2.1.1 被窃工具检测规则

为了帮助组织能够识别到被窃工具的恶意利用，FireEye 已将被窃工具的检测规则发布到 Github。目前311个检测规则中包含YARA规则165个，SNORT规则34个，IOC规则88个，CLAMAV规则24个。Github仓库还会持续更新，详见：https://github.com/fireeye/red_team_tool_countermeasures

2.1.2 被窃工具涉及漏洞

在FireEye公开的Github仓库中，还公布了与被窃工具相关的16个已知漏洞，漏洞影响操作系统，企业常用应用软件、网络设备等。尽快修复这些漏洞能有效限制红队工具发挥作用。

漏洞列表如下：

漏洞编号	漏洞名称
CVE-2014-1812	Windows 本地提权
CVE-2016-0167	Microsoft Windows 老版本本地提权
CVE-2017-11774	Microsoft Outlook中通过诱导用户手动执行文档（钓鱼）实现RCE
CVE-2018-13379	Fortinet Fortigate SSL VPN预授权任意文件读取
CVE-2018-15961	Adobe ColdFusion RCE（可用于上传JSP Web shell）
CVE-2018-8581	Microsoft Exchange Server 特权提升
CVE-2019-0604	Microsoft Sharepoint RCE
CVE-2019-0708	Windows 远程桌面服务（RDS）RCE
CVE-2019-11510	Pulse Secure SSL VPNs 预授权任意文件读取
CVE-2019-11580	Atlassian Crowd RCE
CVE-2019-19781	Citrix应用交付控制器和Citrix网关的RCE
CVE-2019-3398	Confluence需经认证的 RCE
CVE-2019-8394	ZoHo ManageEngine ServiceDesk Plus 预授权任意文件上传
CVE-2020-0688	Microsoft Exchange RCE
CVE-2020-10189	ZoHo ManageEngine Desktop Central RCE
CVE-2020-1472	Microsoft Active Directory 特权提升

建议系统管理员及时排查自身资产是否易受这16个漏洞的影响，如有影响应及时安装补丁修复。

https://github.com/fireeye/red_team_tool_countermeasures/blob/master/CVEs_red_team_tools.md

2.2 临时解决方案

建议系统管理员结合自身资产情况，判断业务系统是否受到红队工具箱中涉及的16个漏洞影响，并及时安装相应补丁进行防护。

FireEye还发布了用于检测泄露红队工具的多个检测规则，管理员可以根据自身情况使用FireEye提供的YARA,SNORT或者CLAMAV规则来检测与防护。具体操作可从参考官方指导文档：

YARA：https://yara.readthedocs.io/en/stable/yarapython.html

SNORT：https://snort.org/documents

ClamAV: http://www.clamav.net/documents/clam-antivirus-user-manual

2.3 绿盟科技检测防护建议

海王捕鱼已经根据现有信息，针对本次泄露的红队攻击工具进行了应急处理。

随着FireEye的规则更新，海王捕鱼也会持续跟进，提供检测与防护能力，请用户保持关注。

2.3.1 针对被窃红队工具的检测与防护

为了应对潜在的利用本次泄露攻击工具进行的攻击，海王捕鱼已根据 FireEye公开的规则信息在海王捕鱼威胁分析系统(TAC) 中更新，为用户提供检测与防护能力。

http://update.nsfocus.com/update/listTacDetail/v/ruleV2.0.2

同时，海王捕鱼情报中心（NTI）已经收录和支持此次泄露工具的ioc。

https://nti.nsfocus.com/

海王捕鱼

二.3.2 针对被窃工具相关漏洞的检测与防护

对照FireEye官方发布的被窃工具相关漏洞列表，海王捕鱼经确认，涉及的16个漏洞均可被检测与防护，建议部署了以下设备的用户尽快升级到最新版本。

检测类产品：远程安全评估系统（RSAS V6）、入侵检测系统(IDS) 、统一威胁探针（UTS）。

l 远程安全评估系统（RSAS V6）http://update.nsfocus.com/update/listRsas

l 入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

l 统一威胁探针（UTS）

http://update.nsfocus.com/update/bsaUtsIndex

防护类产品：入侵防护系统（IPS）、Web应用防护系统（WAF）。

l 入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

l Web应用防护系统（WAF）

http://update.nsfocus.com/update/wafIndex

平台类产品：

l 绿盟全流量威胁分析平台（TAM）

/html/2019/210_1009/63.html

l 绿盟企业安全平台（ESP-H）

/html/2019/209_1230/96.html

以上产品针对各漏洞的检测防护升级包情况详见“附录A 相关漏洞检测防护详情”。

三. 事件启示

由FireEye的红队工具箱被窃一案，很容易就联想到前些年“方程式组织”武器库多次被曝光事件，后者当年在网络安全领域也是引起了轩然大波。也是从那时起，网络军火泄露、扩散所能造成的影响和危害被全球真正见识到，毕竟有相当一部分人都体验过被WannaCry支配的恐惧。

红队工具一旦被扩散，会为潜在的攻击者提供极大的便利，严重破坏攻防平衡。因此类似工具库的持有者应更加注意：

1. 合理存放和保管

除了物理存放安全，还可以通过类似PGP等硬加密方式将工具进行加密，即使泄露，也无法解密使用，可以有效降低工具泄露后造成的危害。

2. 加强管理

对这些工具的访问控制严格管理，通过设置权限级别来限制访问的人员。同时利用日志记录，以便随时查询访问记录，发现异常访问与操作。

3. 加强人员操作规范

设置了软件层面的存放和管理规范后，还要加强人员培训，避免不合规和误操作，导致类似敏感工具的泄露。

本次泄露事件再次为安全厂商敲响了警钟，大家都应更加重视类似“武器库”在攻防博弈中的作用，同时加强相关内部管理，提高响应处理能力，避免此类事件的发生并降低事后造成的影响。

附录A 相关漏洞检测防护详情

漏洞编号	绿盟产品规则	升级包版本号
CVE-2014-1812	RSAS	系统插件V6.0R02F01.2012
CVE-2016-0167	RSAS	系统插件V6.0R02F01.2011
CVE-2017-11774	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.20655
	UTS	5.6.10.20655
CVE-2018-13379	RSAS	系统插件 V6.0R02F01.1812
CVE-2018-13379	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004981 fortios_lang_ptravel
CVE-2018-15961	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.24166
	WAF	“文件非法上传防护”策略即可防护
	UTS	5.6.10.24166
CVE-2018-8581	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.21152
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004964 exchange_privilege_elevation
	UTS	5.6.10.23542
CVE-2019-0604	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.23040
	UTS	5.6.10.23040
CVE-2019-0708	RSAS	系统插件 V6.0R02F01.1411
	IPS	5.6.10.20383
	UTS	5.6.10.23542
CVE-2019-11510	RSAS	系统插件 V6.0R02F01.1812
	IPS	5.6.10.21238
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004979 pulse_abfile_read
CVE-2019-11580	RSAS	系统插件 V6.0R02F01.1505
	IPS	5.6.10.24166
	WAF	“文件非法上传防护”策略即可防护
	UTS	5.6.10.24166
CVE-2019-19781	RSAS	系统插件 V6.0R02F01.1812
	IPS	5.6.10.22558
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004971 citrix_gateway_ptravel
	UTS	5.6.10.23542
CVE-2019-3398	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.24166
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004887 confluence_upload_path_travel
	UTS	5.6.10.24166
	IPS	5.6.10.19741
	WAF	“文件非法上传防护”策略即可防护
	UTS	5.6.10.19741
CVE-2020-0688	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.22068
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004936 exchange_deserialization_rce
	UTS	5.6.10.23542
CVE-2020-10189	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.22284
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004940 zoho_central_deserialization
	UTS	5.6.10.23542
CVE-2020-1472	RSAS	RSAS：系统插件 V6.0R02F01.1917
	IPS	5.6.10.23542
	UTS	5.6.10.23542

附录B 产品使用指南

四.

4.1 RSAS扫描配置

在系统升级中，点击下图红框位置选择文件。

海王捕鱼

选择下载好的相应升级包，点击升级按钮进行手动升级。等待升级完成后，可通过定制扫描模板，针对此次漏洞进行扫描。

4.2 UTS检测配置

在系统升级中点击离线升级，选择规则升级文件，选择对应的升级包文件，点击上传，等待升级成功即可。

海王捕鱼

4.3 IPS防护配置

在系统升级中点击离线升级，选择系统规则库，选择对应的文件，点击上传。

海王捕鱼

更新成功后，在系统默认规则库中查找规则编号，即可查询到对应的规则详情。

海王捕鱼

注意：该升级包升级后引擎自动重启生效，不会造成会话中断，但ping包会丢3~5个，请选择合适的时间升级。

4.4 WAF防护配置

在WAF的规则升级界面进行升级：

海王捕鱼

手动选择规则包，提交即可完成更新。

4.5 TAM配置

进入全流量产品：

海王捕鱼

进入规则升级页面，点击场景管理-场景配置-上传，上传文件。

海王捕鱼

文件上传成功后结果如下图所示：

海王捕鱼

4.6 ESP-H配置

第一步：登录ESP/ESP-H平台

第二步：进入安全分析-事件规则

第三部：如下图，点击导入规则。

海王捕鱼

声明

本安全公告仅用来描述可能存在的安全问题，海王捕鱼不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，海王捕鱼以及安全公告作者不为此承担任何责任。海王捕鱼拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经海王捕鱼允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。