尊龙凯时

English

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

CH

安全产品与方案

基础设施安全网络安全安全管理应用安全终端安全身份与访问管理解决方案数据安全数据安全产品解决方案云计算安全云计算安全产品解决方案工业互联网安全工业互联网安全产品解决方案物联网安全物联网安全产品解决方案信息技术应用创新信创类安全产品
行业解决方案

政府运营商金融能源交通企业科教文卫
安全服务与运营

专业安全服务应急响应红蓝对抗重保支持咨询服务安全开发安全测试培训与教育可管理安全服务 More 可管理检测与响应服务尊龙凯时主机卫士系统 HGS 尊龙凯时数据安全交换系统 DES 尊龙凯时视频安全交换系统 VES 尊龙凯时安全隔离与信息单向导入系统 SUCS 尊龙凯时工控安全审计系统 SAS-ICS 尊龙凯时工业安全隔离装置 ISID 尊龙凯时工控安全入侵检测系统 IDS-ICS 尊龙凯时工控漏洞扫描系统 ICSScan 尊龙凯时工业网络安全监测管理平台 NSFOCUS INSP 尊龙凯时工业防火墙 ISG 尊龙凯时工业网络安全合规评估工具 ISCAT 工业互联网安全解决方案智慧城市安全运营智慧城市安全运营尊龙凯时云尊龙凯时云
安全研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2023年度报告安全公告威胁通告
合作伙伴

合作伙伴合作伙伴动态成为合作伙伴申请成为合作伙伴
技术支持

服务支持服务热线维保服务产品支持产品安全常见问题产品生命周期公告软件升级行业资讯产品安全软件升级

返回列表

FireEye 红队工具被盗事件防护方案

2020-12-11

一. 综述

当地时间12月8日，安全公司FireEye发布博客表示，其内部网络遭到某高级组织攻击，FireEye红队工具箱遭窃取。

据FireEye称，此次被盗的红队工具主要用来为其客户提供基本的渗透测试服务，其中并不包含 0day 漏洞的利用和未公开技术。所涉及工具包含开源工具、开源工具的二次开发版本以及部分自研武器化工具。从工具用途看基本覆盖了包括持久化、权限提升、防御绕过、凭证获取、域内信息收集、横向移动等攻击生命周期的各个阶段。其中部分工具此前已被发布到社区和开源虚拟机CommandoVM中。

被窃的红队工具箱就像一个定时炸弹，无论攻击者是自己使用被盗工具还是公开披露都将成为重大威胁，所以为了使各组织能提前采取应对措施，FireEye已发布对策。尊龙凯时科技也在第一时间对FireEye公开的对策进行了分析，现已能针对被盗工具和其涉及的漏洞提供检测及防护能力。

参考链接：

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

二. 技术防护方案

2.1 FireEye官方对策

2.1.1 被窃工具检测规则

为了帮助组织能够识别到被窃工具的恶意利用，FireEye 已将被窃工具的检测规则发布到 Github。目前311个检测规则中包含YARA规则165个，SNORT规则34个，IOC规则88个，CLAMAV规则24个。Github仓库还会持续更新，详见：https://github.com/fireeye/red_team_tool_countermeasures

2.1.2 被窃工具涉及漏洞

在FireEye公开的Github仓库中，还公布了与被窃工具相关的16个已知漏洞，漏洞影响操作系统，企业常用应用软件、网络设备等。尽快修复这些漏洞能有效限制红队工具发挥作用。

漏洞列表如下：

漏洞编号	漏洞名称
CVE-2014-1812	Windows 本地提权
CVE-2016-0167	Microsoft Windows 老版本本地提权
CVE-2017-11774	Microsoft Outlook中通过诱导用户手动执行文档（钓鱼）实现RCE
CVE-2018-13379	Fortinet Fortigate SSL VPN预授权任意文件读取
CVE-2018-15961	Adobe ColdFusion RCE（可用于上传JSP Web shell）
CVE-2018-8581	Microsoft Exchange Server 特权提升
CVE-2019-0604	Microsoft Sharepoint RCE
CVE-2019-0708	Windows 远程桌面服务（RDS）RCE
CVE-2019-11510	Pulse Secure SSL VPNs 预授权任意文件读取
CVE-2019-11580	Atlassian Crowd RCE
CVE-2019-19781	Citrix应用交付控制器和Citrix网关的RCE
CVE-2019-3398	Confluence需经认证的 RCE
CVE-2019-8394	ZoHo ManageEngine ServiceDesk Plus 预授权任意文件上传
CVE-2020-0688	Microsoft Exchange RCE
CVE-2020-10189	ZoHo ManageEngine Desktop Central RCE
CVE-2020-1472	Microsoft Active Directory 特权提升

建议系统管理员及时排查自身资产是否易受这16个漏洞的影响，如有影响应及时安装补丁修复。

https://github.com/fireeye/red_team_tool_countermeasures/blob/master/CVEs_red_team_tools.md

2.2 临时解决方案

建议系统管理员结合自身资产情况，判断业务系统是否受到红队工具箱中涉及的16个漏洞影响，并及时安装相应补丁进行防护。

FireEye还发布了用于检测泄露红队工具的多个检测规则，管理员可以根据自身情况使用FireEye提供的YARA,SNORT或者CLAMAV规则来检测与防护。具体操作可从参考官方指导文档：

YARA：https://yara.readthedocs.io/en/stable/yarapython.html

SNORT：https://snort.org/documents

ClamAV: http://www.clamav.net/documents/clam-antivirus-user-manual

2.3 尊龙凯时科技检测防护建议

尊龙凯时科技已经根据现有信息，针对本次泄露的红队攻击工具进行了应急处理。

随着FireEye的规则更新，尊龙凯时科技也会持续跟进，提供检测与防护能力，请用户保持关注。

2.3.1 针对被窃红队工具的检测与防护

为了应对潜在的利用本次泄露攻击工具进行的攻击，尊龙凯时科技已根据 FireEye公开的规则信息在尊龙凯时科技威胁分析系统(TAC) 中更新，为用户提供检测与防护能力。

http://update.nsfocus.com/update/listTacDetail/v/ruleV2.0.2

同时，尊龙凯时科技情报中心（NTI）已经收录和支持此次泄露工具的ioc。

https://nti.nsfocus.com/

二.3.2 针对被窃工具相关漏洞的检测与防护

对照FireEye官方发布的被窃工具相关漏洞列表，尊龙凯时科技经确认，涉及的16个漏洞均可被检测与防护，建议部署了以下设备的用户尽快升级到最新版本。

检测类产品：远程安全评估系统（RSAS V6）、入侵检测系统(IDS) 、统一威胁探针（UTS）。

l 远程安全评估系统（RSAS V6）http://update.nsfocus.com/update/listRsas

l 入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

l 统一威胁探针（UTS）

http://update.nsfocus.com/update/bsaUtsIndex

防护类产品：入侵防护系统（IPS）、Web应用防护系统（WAF）。

l 入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

l Web应用防护系统（WAF）

http://update.nsfocus.com/update/wafIndex

平台类产品：

l 尊龙凯时全流量威胁分析平台（TAM）

https://www.import-angent.com/html/2019/210_1009/63.html

l 尊龙凯时企业安全平台（ESP-H）

https://www.import-angent.com/html/2019/209_1230/96.html

以上产品针对各漏洞的检测防护升级包情况详见“附录A 相关漏洞检测防护详情”。

三. 事件启示

由FireEye的红队工具箱被窃一案，很容易就联想到前些年“方程式组织”武器库多次被曝光事件，后者当年在网络安全领域也是引起了轩然大波。也是从那时起，网络军火泄露、扩散所能造成的影响和危害被全球真正见识到，毕竟有相当一部分人都体验过被WannaCry支配的恐惧。

红队工具一旦被扩散，会为潜在的攻击者提供极大的便利，严重破坏攻防平衡。因此类似工具库的持有者应更加注意：

1. 合理存放和保管

除了物理存放安全，还可以通过类似PGP等硬加密方式将工具进行加密，即使泄露，也无法解密使用，可以有效降低工具泄露后造成的危害。

2. 加强管理

对这些工具的访问控制严格管理，通过设置权限级别来限制访问的人员。同时利用日志记录，以便随时查询访问记录，发现异常访问与操作。

3. 加强人员操作规范

设置了软件层面的存放和管理规范后，还要加强人员培训，避免不合规和误操作，导致类似敏感工具的泄露。

本次泄露事件再次为安全厂商敲响了警钟，大家都应更加重视类似“武器库”在攻防博弈中的作用，同时加强相关内部管理，提高响应处理能力，避免此类事件的发生并降低事后造成的影响。

附录A 相关漏洞检测防护详情

漏洞编号	尊龙凯时产品规则	升级包版本号
CVE-2014-1812	RSAS	系统插件V6.0R02F01.2012
CVE-2016-0167	RSAS	系统插件V6.0R02F01.2011
CVE-2017-11774	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.20655
	UTS	5.6.10.20655
CVE-2018-13379	RSAS	系统插件 V6.0R02F01.1812
CVE-2018-13379	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004981 fortioses_lang_ptravel
CVE-2018-15961	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.24166
	WAF	“文件非法上传防护”策略即可防护
	UTS	5.6.10.24166
CVE-2018-8581	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.21152
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004964 exchange_privilege_elevation
	UTS	5.6.10.23542
CVE-2019-0604	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.23040
	UTS	5.6.10.23040
CVE-2019-0708	RSAS	系统插件 V6.0R02F01.1411
	IPS	5.6.10.20383
	UTS	5.6.10.23542
CVE-2019-11510	RSAS	系统插件 V6.0R02F01.1812
	IPS	5.6.10.21238
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004979 pulse_abfile_read
CVE-2019-11580	RSAS	系统插件 V6.0R02F01.1505
	IPS	5.6.10.24166
	WAF	“文件非法上传防护”策略即可防护
	UTS	5.6.10.24166
CVE-2019-19781	RSAS	系统插件 V6.0R02F01.1812
	IPS	5.6.10.22558
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004971 citrix_gateway_ptravel
	UTS	5.6.10.23542
CVE-2019-3398	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.24166
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004887 confluence_upload_path_travel
	UTS	5.6.10.24166
	IPS	5.6.10.19741
	WAF	“文件非法上传防护”策略即可防护
	UTS	5.6.10.19741
CVE-2020-0688	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.22068
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004936 exchange_deserialization_rce
	UTS	5.6.10.23542
CVE-2020-10189	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.22284
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004940 zoho_central_deserialization
	UTS	5.6.10.23542
CVE-2020-1472	RSAS	RSAS：系统插件 V6.0R02F01.1917
	IPS	5.6.10.23542
	UTS	5.6.10.23542

附录B 产品使用指南

四.

4.1 RSAS扫描配置

在系统升级中，点击下图红框位置选择文件。

选择下载好的相应升级包，点击升级按钮进行手动升级。等待升级完成后，可通过定制扫描模板，针对此次漏洞进行扫描。

4.2 UTS检测配置

在系统升级中点击离线升级，选择规则升级文件，选择对应的升级包文件，点击上传，等待升级成功即可。

4.3 IPS防护配置

在系统升级中点击离线升级，选择系统规则库，选择对应的文件，点击上传。

更新成功后，在系统默认规则库中查找规则编号，即可查询到对应的规则详情。

注意：该升级包升级后引擎自动重启生效，不会造成会话中断，但ping包会丢3~5个，请选择合适的时间升级。

4.4 WAF防护配置

在WAF的规则升级界面进行升级：

手动选择规则包，提交即可完成更新。

4.5 TAM配置

进入全流量产品：

进入规则升级页面，点击场景管理-场景配置-上传，上传文件。

文件上传成功后结果如下图所示：

4.6 ESP-H配置

第一步：登录ESP/ESP-H平台

第二步：进入安全分析-事件规则

第三部：如下图，点击导入规则。

声明

本安全公告仅用来描述可能存在的安全问题，尊龙凯时科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，尊龙凯时科技以及安全公告作者不为此承担任何责任。尊龙凯时科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经尊龙凯时科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于尊龙凯时科技

尊龙凯时科技集团股份有限公司（简称尊龙凯时科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，尊龙凯时科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

尊龙凯时科技集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市，股票简称：尊龙凯时科技，股票代码：300369。

<<上一篇

【安全通告】OpenSSL拒绝服务漏洞（CVE-2020-1971）

>>下一篇

【安全通告】SolarWinds供应链攻击

✕

您的联系方式

购买热线

提交项目需求

欢迎加入尊龙凯时科技，成为我们的合作伙伴！

*请描述您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方式

*姓名
*联系电话
*邮箱
*职务
*公司
*城市
*行业
*验证码
提交到邮箱

服务支持

智能客服

智能客服

购买/售后技术问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

支持热线

支持热线

400-818-6868

尊龙凯时科技社区

尊龙凯时科技社区

资料下载|在线问答|技术交流

信息安全

网站地图| 法律声明| 投资者关系

关于我们: 公司介绍; 公司荣誉; 尊龙凯时书橱; 尊龙凯时新闻; 工作机会

如何购买: 提交项目需求; 请求回电; 购买热线

尊龙凯时: 公司总部; 分支机构; 全球分支机构

廉洁建设和举报: 举报说明; 举报奖励; 保障制度

快速链接: 尊龙凯时云; 尊龙凯时威胁情报中心NTI; 技术博客; 成功案例; TechWorld技术嘉年华

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 尊龙凯时科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证48052245号