一大早朋友圈就炸了,鱼哥、猪猪侠、何艺等一众大佬都在谈论这事儿
赶紧去FireEye官网了解下具体发生了什么。
Part1. 官方报道
官网blog在这里: https://www.fireeye.com/blog.html
12月8日,发了两篇博客文章
第一篇文章《FireEye 共享了近期网络攻击的细节和应对措施》
文章先是坦承最近受到了一次高度复杂的网络攻击,从攻击者的行为、操作的隐蔽性和使用的技术来看,认为是国家自主的有组织的攻击。CEO Kevin 认为这是他25年来遇到的顶级攻击,整个过程可以说是对Fireeye量身定制。
FireEye 指出此次事件的几点影响:
1、攻击者访问了红队的安全评估工具,认为工具已泄露。
2、这些工具中不包含 0Day。
3、但是这些工具有些具有免杀能力,估计会对社会有影响。
4、客户信息和TI收集的元数据并未泄露。
精彩的地方在于,FireEye 的应急响应:
1、写了300多条安全检测规则,利用这些规则,可以发现使用了他家工具的攻击行为。
2、FireEye自家的安全产品已内置这些检测规则(自己的矛攻自己的盾)
3、作为上市公司,还根据《证券交易法》做了前瞻性声明。
第二篇文章《关于FireEye红队工具被未授权访问事宜》
这篇文章首先对FireEye的红队工具做了基本说明:
1、工具中既有简单的自动化信息收集脚本,也有类似于CobaltStrike、Metasploit这样的公开技术框架。
2、很多红队工具已经在社区发布,在他们的开源虚拟机CommandoVM 中就有。(https://github.com/fireeye/commando-vm)
3、对一些公开工具进行了修改,可以绕过常规的安全检测。
4、团队内部开发了一些其他工具和框架
5、不存在0day
直接告诉大家,针对这些红队工具,如何做检测。
1、检测规则放在了Github,311条。(地址:https://github.com/fireeye/red\_team\_tool\_countermeasures)
2、为了方便大家使用,根据告警检测点的不同,直接生成了 OpenIOC、Yara、Snort和ClamAV等多种格式。
Part2. 披露检测规则
关于这几种格式做个简单说明:
**Yara:**由virustotal的软件工程师Victor M. Alvarezk开发的识别和分类恶意软件样本的开源工具。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成。语法规则如下
rule silent_banker : banker
{
meta:
description = "This is just an example"
thread_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c
}
以上规则告诉YARA任何包含有$a、$b、$c字符串的文件都被标识为slient_banker。
**OpenIOC:**MANDIANT公司(现在是FireEye的TI部门)创建的一种记录、定义以及共享安全情报的格式。更多说明可以参见:https://www.freebuf.com/sectool/86580.html
**Snort:**大名顶顶的 IDS 软件。国内很多公司基于该产品来做自己的NIDS。这里不做赘述,直接看 FireEye给出的rule。
alert tcp any $HTTP_PORTS -> any any (msg:"Backdoor.HTTP.BEACON.[CSBundle USAToday Server]"; flow:from_server,established; content:"{\"navgd\":\"<div class=gnt_n_dd_ls_w><div class=gnt_n_dd_nt>ONLY AT USA TODAY:</div><div class=gnt_n_dd_ls><a class=gnt_n_dd_ls_a href=https://supportlocal.usatoday.com/"; sid:25894; rev:1;)
alert tcp any $HTTP_PORTS -> any any (msg:"Backdoor.HTTP.BEACON.[CSBundle USAToday Server]"; content:"HTTP/1."; depth:7; content:"Connection: close"; content:"Content-Type: application/json\; charset=utf-8"; content:"Content-Security-Policy: upgrade-insecure-requests"; content:"Strict-Transport-Security: max-age=10890000"; content:"Cache-Control: public, immutable, max-age=315360000"; content:"Accept-Ranges: bytes"; content:"X-Cache: HIT, HIT"; content:"X-Timer: S1593010188.776402,VS0,VE1"; content:"Vary: X-AbVariant, X-AltUrl, Accept-Encoding"; sid:25893; rev:1;)
目前全部规则有311条,简单统计如下:
1、根据检测规则的家族来分
2、根据检测点(网络、主机、情报)来分:
Part3. 部分规则学习
本着专业人做专业事的思想,大部分时候我们不会去具体了解所用产品的规则库语法,更别谈分析规则库内容了。
借此机会,看几个FireEye的规则案例:
1、Gorat 远控工具的检测规则
根据文件大小和字符串来检测。
2、WMISpy 工具检测
检测PE文件的头两个byte是否为 MZ (Dos头),第 0x3c 开头的4个byte是否为 00004550。
3、Beacon的检测
简单做了下格式整理
alert tcp any any -> any $HTTP_PORTS (
msg:"Backdoor.HTTP.BEACON.[CSBundle MSOffice POST]";
content:"POST /v1/push"; depth:13;
content:"Accept: */*"; content:"Accept-Encoding: gzip, deflate, br"; content:"Accept-Language: en-US|0d 0a|"; content:"{\"locale\":\"en\",\"channel\":\"prod\",\"addon\":\"";
content:"cli";
content:"l-";
sid:25891;
rev:1;
)
在Snort中根据HTTP请求的header内容进行匹配。如果发现请求 /v1/push,并且还有cli、1-、sid=25891等内容,则告警。
Part4. 启示
有几点感受:
1、直面问题的勇气。作为一家安全公司,而且是上市公司。自身被入侵是一件很“丢人”的事情,但 FireEye 并没有选择掩盖,而是公开曝光,难能可贵。前不久的大型攻防演习中,“安全产品不安全”的段子也是满天飞,各大安全公司也是互相拆台,SXF EDR更是被暴打,最后SXF选择对自家产品进行公开漏洞悬赏,直面问题,值得鼓励。
2、自备矛与盾。很多安全厂商,红队只负责攻击,并不负责编写检测规则。如果有漏洞挖掘团队,新挖出的漏洞和规则库往往是作为 PR 来为自家产品能力加成,但是,对于红队开展日常服务的一些工具,是否有检测规则呢?尤其是一些杀软绕过、HIDS绕过、提权工具,这里存疑。
3、安全共赢生态。FireEye 公布的策略中,有TI、网络、主机等层面的检测规则,跨越了不同厂家的产品,能供最大化帮助社会减轻问题影响。试想问题发生在国内会是怎样的场景?
- A家红队工具泄露了,发布了工具检测规则
- B家的 NTA 策略语法不一致,要花几天修改检测规则
- C家的 AV 不支持用户自定义规则,也需要等几天修改规则
- D家威胁情报说不支持这种格式,再花几天增加IoC
有人就说,你想多了,A家怎么会对外公布检测规则呢?公关和群众的记忆才是最好的商业规则。