L'8 dicembre 2020 FireEye ha annunciato di essere stata violata da un attore altamente sofisticato. A causa della natura dell'attacco, della disciplina, della sicurezza operativa e delle tecniche utilizzate, FireEye sospetta che si tratti di un attacco sponsorizzato da uno Stato.
Durante le indagini iniziali, si è scoperto che l'aggressore ha preso di mira e rubato gli strumenti Red Team utilizzati da FireEye. Questi strumenti imitano il comportamento di molti attori delle minacce informatiche e consentono a FireEye di testare e valutare la postura di sicurezza dei propri clienti.
Cosa devono sapere gli utenti di Vectra
I clienti di Vectra possono stare tranquilli sapendo di essere protetti da eventuali aggressori che sfruttano gli strumenti rubati. Scorrete in basso per una panoramica di ogni strumento e dei rilevamenti Vectra ad esso associati.
FireEye pubblica i rilevamenti open-source
Gli strumenti rubati vanno da semplici script utilizzati per automatizzare la ricognizione a interi framework simili a tecnologie pubblicamente disponibili, come CobaltStrike e Metasploit.
FireEye ha guadagnato popolarità nel corso degli anni per aver aiutato le organizzazioni di tutto il mondo a rispondere alle violazioni, quindi non sorprende che un leader nella risposta agli incidenti sappia come rispondere in modo appropriato. Nel giro di 24 ore, FireEye ha pubblicato in un repository github pubblico l'elenco delle firme in grado di rilevare gli strumenti rubati per i framework open-source più diffusi, tra cui Snort, YARA, ClamAV e HXIOC, rendendo di fatto inutilizzabili questi strumenti.
FireEye ha precisato che non sono trapelati exploit zero-day , il che significa che gli strumenti rubati sfruttano vulnerabilità già note. Tuttavia, la creazione di strumenti personalizzati della Squadra Rossa rappresenta un notevole investimento di tempo per gli aggressori. Rilasciando le firme per rilevarli, FireEye si assicura che gli aggressori non possano utilizzarli senza essere facilmente individuati.
Ci congratuliamo con FireEye per la divulgazione e la collaborazione con la comunità della sicurezza in merito a questo incidente.
Panoramica degli strumenti e dei rilevamenti
Dopo aver esaminato le informazioni condivise da FireEye, il team di ricerca sulla sicurezza di Vectra ha compreso gli obiettivi di molti degli strumenti rubati, il modo in cui questi strumenti si sarebbero presentati sulla rete e il modo in cui l'approccio AI di Vectra può identificare il loro utilizzo in un attacco.
ADPASSHUNT: strumento per il furto di credenziali progettato per individuare le password degli account AD. Lo strumento rubato consentirebbe a un aggressore di identificare credenziali preziose e di utilizzarle per spostarsi lateralmente più in profondità nella rete. Gli avvisi Privilege Access Anomaly di Vectra sono in grado di identificare l'uso di credenziali rubate, indipendentemente da come e dove vengono accedute.
BEACON: strumento di comando e controllo che sfrutta i protocolli DNS, HTTP e HTTPS. Gli strumenti rubati sfruttano una serie di profili malleabili di Cobalt Strike, consentendo agli aggressori di mascherare il traffico di controllo per farlo apparire innocuo. Gli algoritmi Hidden DNS Tunnel, Hidden HTTP Tunnel e Hidden HTTPS Tunnel di Vectra sono stati progettati per rilevare questi tipi di canali di controllo indipendentemente dagli strumenti utilizzati per crearli. L'intelligenza artificiale sottostante è in grado di identificare il comportamento di controllo principale, indipendentemente dalle tattiche di evasione utilizzate.
FLUFFY: un'utilità progettata per eseguire Kerberoasting. Kerberoasting consentirebbe a un aggressore di accedere a hash di credenziali che possono essere decifrati offline e utilizzati per muoversi lateralmente nella rete. Gli avvisi Privilege Access Anomaly di Vectra sono in grado di identificare l'uso di credenziali rubate, indipendentemente da come e da dove vi si accede.
IMPACKETOBF: utility in grado di supportare la comunicazione su SMB e MSRPC. Un utente malintenzionato potrebbe utilizzare questo tipo di strumento per eseguire l'esecuzione remota con un account rubato e muoversi lateralmente nell'ambiente. Suspicious Remote Execution di Vectra è in grado di identificare quando le credenziali rubate vengono utilizzate per eseguire codice remoto.
PUPPYHOUND: un'utilità di mappatura per la ricognizione dell'AD. Lo strumento consente a un aggressore di mappare l'ambiente e di capire quali diritti e autorizzazioni sono necessari per raggiungere l'obiettivo finale. Più modelli Vectra, RPC Recon, Suspicious LDAP Query e Automated replication possono identificare diversi aspetti di questo tipo di comportamento di ricognizione.
REDFLARE (Gorat): Uno strumento di comando e controllo. Ciò consentirebbe a un aggressore di esercitare un controllo remoto su un host della rete. Il tunnel HTTP nascosto di Vectra è stato progettato per segnalare questi tipi di canali di controllo, indipendentemente dagli strumenti utilizzati per crearli.
SAFETYKATZ / EXCAVATOR: strumenti per il dumping delle credenziali. Ciò consentirebbe a un aggressore di rubare le credenziali e di spostarsi lateralmente su altri computer host. Gli avvisi Privilege Access Anomaly e Suspicious Admin di Vectra sono in grado di identificare l'uso di credenziali rubate, indipendentemente da come e da dove si accede.
Siamo qui per aiutarvi
Vectra è sempre disponibile se avete bisogno di migliorare le vostre operazioni di sicurezza e di potenziare le vostre capacità di risposta agli incidenti o se avete bisogno di una valutazione del rischio relativo alla violazione di FireEye. Gli esperti dei servizi di consulenza di Vectra offrono un'ampia gamma di soluzioni personalizzate in base alle esigenze specifiche della vostra organizzazione, compresi i briefing per i dirigenti.