-
-
[原创]关于火眼工具失窃事件的应急处置
-
2020-12-11 11:29
-
01 事件概述
2020年12月8日,火眼公司(FireEye)在其官方网站发布公告称“高度复杂的威胁行动者”攻击了其内网并窃取了用于测试客户网络的红队(Red Team)工具。火眼以高级网络威胁防护服务为自身定位的美国企业,为其客户提供红队工具,实现可以模拟多个威胁行为体活动以进行安全测试评估。
火眼表示,被窃取的红队工具的范围从用于自动化侦察的简单脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架。
其声称泄漏工具不包含0day漏洞利用工具,被盗取的部分红队工具此前已发布给社区,或已经在其开源虚拟机测试套件CommandoVM中。
02 应急更新
被窃取的红队工具扩散后,工具利用有可能被迅速泛化,被用于展开大范围的撒网攻击尝试,如扩展僵尸网络或通过勒索软件、挖矿木马等方式进行大面积的价值收割。这种失控的泄露将降低了攻击成本,专属定向攻击能力快速转化为普遍性的攻击能力,造成大面积的安全事件。
从目前获悉的事件情况及火眼公司所公布的防护规则来判断,此次事件目前所涉及的漏洞清单以及对应的补丁链接如下(建议及时进行补丁更新):
03 参考链接
[1]《未经授权访问FireEye红队工具》
https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课
最后于 2020-12-11 14:36
被华云安编辑
,原因: 忘记加原创
