L'8 dicembre 2020, FireEye ha annunciato di essere stata vittima di un attacco da parte di un autore altamente sofisticato. Data la natura dell'attacco, la disciplina, la sicurezza operativa e le tecniche utilizzate, FireEye sospetta che si sia trattato di un attacco sponsorizzato dallo Stato.
Durante le indagini iniziali, è emerso che l'autore dell'attacco aveva preso di mira e rubato gli strumenti Red Team utilizzati da FireEye. Questi strumenti imitano il comportamento di molti autori di minacce informatiche e consentono a FireEye di testare e valutare il livello di sicurezza dei propri clienti.
Cosa devono sapere gli utenti di Vectra
I clienti Vectra possono stare tranquilli sapendo di essere protetti da eventuali aggressori che sfruttano gli strumenti rubati. Scorrere verso il basso per una panoramica di ciascuno strumento e dei rilevamenti Vectra associati a ciascuno di essi.
FireEye pubblica rilevamenti open source
Gli strumenti rubati vanno da semplici script utilizzati per automatizzare la ricognizione a interi framework simili a tecnologie disponibili al pubblico, come CobaltStrike e Metasploit.
FireEye ha guadagnato popolarità nel corso degli anni aiutando le organizzazioni di tutto il mondo a rispondere alle violazioni, quindi non sorprende che un leader nella risposta agli incidenti sappia come reagire in modo appropriato. Entro 24 ore, FireEye ha pubblicato l'elenco delle firme in grado di rilevare gli strumenti rubati per i framework open source più diffusi, tra cui Snort, YARA, ClamAV e HXIOC, in un repository github pubblico, rendendo di fatto questi strumenti inutilizzabili.
FireEye ha specificato che non sono stati divulgati zero-day , il che significa che gli strumenti rubati sfruttano vulnerabilità già note. Tuttavia, la creazione di strumenti personalizzati per il Red Team richiede un notevole investimento di tempo da parte degli aggressori. Rilasciando le firme per rilevarli, FireEye si assicura che gli aggressori non possano utilizzarli senza essere facilmente individuati.
Applaudiamo e lodiamo FireEye per aver reso pubblico l'incidente e per aver collaborato con la comunità della sicurezza in merito.
Panoramica degli strumenti e dei rilevamenti
Dopo aver esaminato le informazioni condivise da FireEye, il team di ricerca sulla sicurezza di Vectra ha compreso gli obiettivi di molti degli strumenti rubati, come tali strumenti si sarebbero presentati sulla rete e come l'approccio AI di Vectra può identificarne l'uso in un attacco.
ADPASSHUNT: uno strumento per il furto di credenziali progettato per individuare le password degli account AD. Lo strumento rubato consentirebbe a un aggressore di identificare credenziali di valore e utilizzarle per penetrare più in profondità nella rete. Gli avvisi di anomalie nell'accesso privilegiato di Vectra sono in grado di identificare l'utilizzo di credenziali rubate, indipendentemente da come e dove vengono utilizzate.
BEACON: uno strumento di comando e controllo che sfrutta i protocolli DNS, HTTP e HTTPS. Gli strumenti rubati sfruttano una varietà di profili Malleable Cobalt Strike, consentendo agli aggressori di mascherare il loro traffico di controllo per farlo apparire innocuo. Gli algoritmi Hidden DNS Tunnel, Hidden HTTP Tunnel e Hidden HTTPS Tunnel di Vectra sono stati progettati per segnalare questo tipo di canali di controllo indipendentemente dagli strumenti utilizzati per crearli. L'intelligenza artificiale sottostante è in grado di identificare il comportamento di controllo principale indipendentemente dalle tattiche di evasione utilizzate.
FLUFFY: Un'utilità progettata per Kerberoasting.Kerberoasting un aggressore di accedere agli hash delle credenziali che possono essere decifrati offline e utilizzati per muoversi lateralmente nella rete. Gli avvisi di anomalia dell'accesso privilegiato di Vectra sono in grado di identificare l'utilizzo di credenziali rubate, indipendentemente da come e da dove vengono utilizzate.
IMPACKETOBF: un'utilità in grado di supportare la comunicazione tramite SMB e MSRPC. Un aggressore utilizzerebbe questo tipo di strumento per eseguire operazioni in remoto con un account rubato e muoversi lateralmente nell'ambiente. La funzione Suspicious Remote Execution di Vectra è in grado di identificare quando vengono utilizzate credenziali rubate per eseguire codice in remoto.
PUPPYHOUND: un'utilità di mappatura di ricognizione AD. Lo strumento consentirebbe a un aggressore di mappare l'ambiente e comprendere quali diritti e autorizzazioni sono necessari per raggiungere il proprio obiettivo finale. Diversi modelli Vectra, RPC Recon, Suspicious LDAP Query e Automated replication sono in grado di identificare diversi aspetti di questo tipo di comportamento di ricognizione.
REDFLARE (Gorat): uno strumento di comando e controllo. Questo consentirebbe a un aggressore di esercitare il controllo remoto su un host nella rete. Hidden HTTP Tunnel di Vectra è stato progettato per segnalare questo tipo di canali di controllo indipendentemente dagli strumenti utilizzati per crearli.
SAFETYKATZ / EXCAVATOR: Strumenti per il dumping delle credenziali. Ciò consentirebbe a un aggressore di rubare le credenziali e spostarsi lateralmente su altri computer host. Gli avvisi di anomalie nell'accesso privilegiato e Suspicious Admin di Vectra sono in grado di identificare l'utilizzo di credenziali rubate, indipendentemente da come e da dove vengono utilizzate.
Siamo qui per aiutarti
Vectra è sempre a vostra disposizione se avete bisogno di migliorare le vostre operazioni di sicurezza e potenziare le vostre capacità di risposta agli incidenti o se avete bisogno di una valutazione dei rischi relativa alla violazione di FireEye. Gli esperti dei servizi di consulenza Vectra offrono un'ampia gamma di soluzioni su misura per le esigenze specifiche della vostra organizzazione, compresi briefing esecutivi.