通告编号:NS-2020-0072
2020-12-09
TAG: | FireEye、APT、红队工具箱 |
|---|---|
事件危害: | 攻击者利用此工具箱,可造成较大的网络威胁。 |
版本: | 1.0 |
1
事件概述
当地时间12月8日,安全公司FireEye发布博客表示,某个由国家赞助的APT组织盗取了FireEye的红队工具箱。由于暂时无法确定攻击者会自己使用,还是公开披露工具箱,为保证各安全社区能提前采取应对措施,FireEye公开了被盗工具的检测规则,以降低恶意用户滥用红队工具箱的威胁。
SEE MORE →
2事件详情
从检测规则推断泄漏的红队工具箱至少包含60个工具包,其中凭证窃取类工具包有ADPASSHUNT,SAFETYKATZ等,后门远控类工具包有BEACON,DSHELL,REDFLARE (Gorat)等,此外还有用于自动侦察的简易脚本,以及CobaltStrike、Metasploit之类的漏洞利用框架。
其中部分工具已被发布到社区和开源虚拟机CommandoVM中,有些工具经过修改可绕过安全工具的常规检测,还有部分工具与框架是由Red Team内部开发。此次泄漏的红队工具箱中不涉及0day漏洞和未公开技术,目前暂未发现工具箱被散播和使用。
涉及的CVE漏洞
此次工具箱中涉及的16个CVE漏洞如下:
漏洞名称 | 官方链接 |
|---|---|
Microsoft Windows 本地权限提升漏洞(CVE-2014-1812) | https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-025 |
Microsoft Windows 本地权限提升漏洞(CVE-2016-0167) | http://technet.microsoft.com/security/bulletin/MS16-039 |
Microsoft Outlook中通过诱导用户手动执行文档(钓鱼)方式的远程代码执行漏洞(CVE-2017-11774) | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2017-11774 |
Fortinet Fortigate SSL VPN任意文件读取漏洞(CVE-2018-13379) | https://www.fortiguard.com/psirt/FG-IR-18-384 |
Adobe ColdFusion 远程代码执行漏洞(可用于上传JSP Web shell)(CVE-2018-15961) | https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html |
Microsoft Exchange Server 权限提升漏洞(CVE-2018-8581) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8581 |
Microsoft Sharepoint 远程代码执行漏洞(CVE-2019-0604) | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-0604 |
Microsoft Windows 远程桌面服务代码执行漏洞(CVE-2019-0708) | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-0708 |
Pulse Secure SSL VPN 任意文件读取漏洞(CVE-2019-11510) | https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101/ |
Atlassian Crowd远程代码执行漏洞(CVE-2019-11580) | https://confluence.atlassian.com/crowd/crowd-security-advisory-2019-05-22-970260700.html |
Citrix ADC、Citrix网关远程代码执行漏洞(CVE-2019-19781) | https://support.citrix.com/article/CTX267027 |
Confluence需经认证的远程代码执行漏洞(CVE-2019-3398) | https://confluence.atlassian.com/doc/confluence-security-advisory-2019-04-17-968660855.html |
ZoHo ManageEngine ServiceDesk Plus 任意文件上传漏洞(CVE-2019-8394) | https://www.manageengine.com/products/service-desk/on-premises/readme.html |
Microsoft Exchange远程代码执行漏洞(CVE-2020-0688) | https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688 |
ZoHo ManageEngine Desktop Central 远程代码执行漏洞(CVE-2020-10189) | https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html |
Microsoft Windows NetLogon 权限提升漏洞(CVE-2020-1472) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472 |
公开的检测规则
FireEye针对泄漏的工具箱发布了311个检测规则,其中YARA规则165个,SNORT规则34个,IOC规则88个,CLAMAV规则24个。
下载链接:https://github.com/fireeye/red_team_tool_countermeasures
3安全建议
3.1 漏洞排查
建议系统管理员结合自身资产,判断业务系统是否受到红队工具箱中16个漏洞的影响,如果资产在漏洞列表中,应及时安装补丁修复。
3.2 系统文件扫描
YARA由VirusTotal发布,用于研究人员识别和分析恶意样本,基于文本和二进制特征匹配原理,通过命令行界面或带有YARA-Python扩展名的Python脚本使用。
1.下载YARA:https://github.com/virustotal/yara
2.安装方法:
Debian/Ubuntu:apt-get install yara,或自行编译安装。
Redhat/CentOS:yum install yara(需先安装epel-release),或自行编译安装。
Windows:直接运行下载的exe,或自行编译安装。
3.下载解压规则red_team_tool_countermeasures-master.zip,链接见上一章。
4.检测本地文件
[root@centos7 red_team_tool_countermeasures-master]# yara all-yara.yar -r /
参数说明:-r 表示递归查询子目录,/表示要检测的目录。
如果管理员希望使用工具箱中的ClamAV,Snort规则,可参考官方文档:
http://www.clamav.net/documents/clam-antivirus-user-manual
https://snort.org/documents
3.3 安全产品防护
截止目前,针对该红队工具箱中涉及的漏洞,绿盟科技基本均发布了产品规则,请有部署设备的用户尽快升级至最新版本,其中RSAS、IPS、WAF的检测与防护支持情况如下:
漏洞编号 | 漏洞名称 | 已支持安全产品 |
|---|---|---|
CVE-2014-1812 | Microsoft Windows 本地权限提升漏洞 | |
CVE-2016-0167 | Microsoft Windows 本地权限提升漏洞 | RSAS |
CVE-2017-11774 | Microsoft Outlook中通过诱导用户手动执行文档(钓鱼)方式的远程代码执行漏洞 | IPS |
CVE-2018-13379 | Fortinet Fortigate SSL VPN任意文件读取漏洞 | RSAS、WAF |
CVE-2018-15961 | Adobe ColdFusion 远程代码执行漏洞(可用于上传JSP Web shell) | RSAS |
CVE-2018-8581 | Microsoft Exchange Server 权限提升漏洞 | IPS、RSAS、WAF |
CVE-2019-0604 | Microsoft Sharepoint 远程代码执行漏洞 | IPS |
CVE-2019-0708 | Microsoft Windows 远程桌面服务代码执行漏洞 | IPSRSAS |
CVE-2019-11510 | Pulse Secure SSL VPN 任意文件读取漏洞 | IPS、RSAS |
CVE-2019-11580 | Atlassian Crowd远程代码执行漏洞 | RSAS |
CVE-2019-19781 | Citrix ADC、Citrix网关远程代码执行漏洞 | IPS、RSAS、WAF |
CVE-2019-3398 | Confluence需经认证的远程代码执行漏洞 | RSAS、WAF |
CVE-2019-8394 | ZoHo ManageEngine ServiceDesk Plus 任意文件上传漏洞 | IPS |
CVE-2020-0688 | Microsoft Exchange远程代码执行漏洞 | IPS、WAF |
CVE-2020-10189 | ZoHo ManageEngine Desktop Central 远程代码执行漏洞 | IPS、RSAS、WAF |
CVE-2020-1472 | Microsoft Windows NetLogon 权限提升漏洞 | IPS、RSAS |
END
作者:绿盟科技威胁对抗能力部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
