记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

网络安全公司“火眼”被黑 红队工具被盗

2020-12-09 18:48

事件概述

当地时间12月8日,据FireEye博客公布,某高级组织盗取了FireEye红队工具。由于暂不能确定攻击者将自己使用被盗工具还是公开披露,所以FireEye率先在博客中发布对策,以使各组织够提前采取应对措施。

被盗工具简介

被盗红队工具的种类包括用于自动侦察的简单脚本到与CobaltStrike、Metasploit等技术类似的整体框架。其中许多工具已向社区或在其开源虚拟机CommandoVM中发布。这些工具中一些是经过修改以逃避基本安全检测机制的公开工具,另一些工具和框架则是由红队内部开发。

此次被盗的红队工具中并不包含 0day 漏洞的利用,也不包含未公开技术

目前还暂未检测到工具被散播和使用。

识别检测方法

为了帮助组织能够识别到这些工具,FireEye 已发布OpenIOC,Yara,Snort和ClamAV检测规则。具体规则详见:

https://github.com/fireeye/red_team_tool_countermeasures

备注:规则列表还会持续更新

需特别关注的CVE

此外,修复以下漏洞能有效限制红队工具发挥作用:

CVE-2014-1812Windows 本地提权CVE-2016-0167Microsoft Windows 老版本本地提权CVE-2017-11774Microsoft Outlook中通过诱导用户手动执行文档(钓鱼)实现RCECVE-2018-13379Fortinet Fortigate SSL VPN预授权任意文件读取CVE-2018-15961Adobe ColdFusion RCE(可用于上传JSP Web shell)CVE-2018-8581Microsoft Exchange Server 特权提升CVE-2019-0604Microsoft Sharepoint RCECVE-2019-0708Windows 远程桌面服务(RDS)RCECVE-2019-11510Pulse Secure SSL VPNs 预授权任意文件读取CVE-2019-11580Atlassian Crowd RCECVE-2019-19781Citrix应用交付控制器和Citrix网关的RCECVE-2019-3398Confluence需经认证的 RCECVE-2019-8394ZoHo ManageEngine ServiceDesk Plus 预授权任意文件上传CVE-2020-0688Microsoft Exchange RCECVE-2020-10189ZoHo ManageEngine Desktop Central RCECVE-2020-1472Microsoft Active Directory 特权提升

参考链接:

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html


知识来源: blog.nsfocus.net/fireeye-hacked-1209/
想收藏或者和大家分享这篇好文章→复制链接地址

“网络安全公司“火眼”被黑 红队工具被盗”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁