以红队视角看FireEye网络攻击事务

2020-12-10

12月8日，美国顶级清静公司FireEye（中文名：火眼）宣布一则通告称其内部网络被某个“拥有一流网络攻击能力的国家”所突破。现在，FireEye正在与联邦视察局和包括Microsoft在内的其他主要相助同伴举行起劲的视察相助。

多年来FireEye作为全球领先的网络清静厂商与美国政府有着千丝万缕的联系，先进的防护产品和其主要的客户群（政府机构、要害基础设施和大型企业）为公共所熟知。这次攻击事务一经宣布，连忙引起了清静界的普遍关注。

据加入视察的联邦视察局剖析，这次攻击是专为FireEye量身定制，使用了已往从未见过的新颖手艺组合，高度嫌疑是由国家资助的攻击者睁开的。

凭证FireEye自己宣布的文章称，攻击者只是会见了某些Red Team评估工具。这些工具模拟了许多网络攻击者的行为，主要为FireEye的客户提供基本的渗透测试服务，并没有包括0day误差。别的，攻击者的目的是要追求与某些政府客户有关的信息，可是没有证据批注，攻击者获取了相关的信息。

FireEye 称不确定攻击者是否妄想使用这些Red Team工具或果真披露它们。可是，出于审慎思量，为了协助提防这些工具被果真的危害，FireEye 已宣布识别这些工具的OpenIOC，Yara，Snort和ClamAV检测规则，以只管镌汰丧失这些工具的潜在影响。

详细规则详见：

https://github.com/fireeye/red_team_tool_countermeasures

九游老哥科技M01N清静研究团队，作为恒久关注红队手艺的研究团队，第一时间凭证宣布的规则对这些被窃取的红队工具举行了剖析。

走漏工具

1.红队工具梳理

对FireEye走漏的红队工具集的检测规则文件举行了梳理剖析，九游老哥科技M01N清静研究团队发明所涉及工具包括开源工具、开源工具的二次开发版本以及部分自研工具，基本笼罩了包括长期化、权限提升、防御绕过、凭证获取、域内信息网络、横向移动等攻击生命周期的各个阶段。

工具梳理详见：

FireEye Red Team Toolkit 详细列表（请见阅读原文）

2.攻击手艺剖析

●从PowerShell向反射性C＃转变，规避端点检测

PowerShell已被攻击组织使用了多年，但随着攻防博弈的一直生长，清静行业的最新防御手艺，包括像剧本块日志纪录，反恶意软件剧本接口（AMSI）以及第三方清静供应商针对恶意PowerShell运动检测都直接导致了基于PowerShell的Post-Explotation攻击受到诸多限制。之后攻击组织从PowerShell转而向反射性C＃逐步举行转变，以图逃避现代清静防御系统。

●NET开发贯串整个攻击生命周期

凭证九游老哥科技M01N清静研究团队剖析，此次FireEye红队走漏工具，凌驾90%的工具基于.Net开发，批注FireEye红队也在起劲跟进攻击手艺生长偏向。九游老哥科技M01N清静研究团队从开源社区中视察到使用C#开发的工具，例如Seatbelt、SharpUp以及SharpView等开源工具，可以协助红队完成攻击生命周期的各个阶段性使命，但在长期化阶段有所欠缺。FireEye的红队率先对此举行了综合性研究，于2019年9月对外宣布了SharPersist: Windows Persistence Toolkit in C# FireEye Inc长期化工具集，而该工具也同样是此次事务中的一部分。不但云云，还可以看到包括SharPivot、SharPsack、SharPY等类似工具。

SharPersist支持多种长期性手艺

●使用.NET与无文件攻击的优异相容性，构建一系列基于.NET的自研工具

在开发语言向C#转变同时，.NET无邪而强盛的语言特征与DLR的引入使其尤其适于无文件攻击的施展。得益于成熟的CLR Hosting手艺，.NET程序集可无邪地在内存中加载而无需在外地残留文件。FireEye也无疑顺应着.NET与无文件攻击的优异相容性，构建一系列基于.NET的自研工具，并起劲地将所有工具纳入无文件攻击的系统中。即即是.NET系统之外的Win32程序也可通过MATRYOSHKA工具将其转变为shellcode并接纳Process Hollowing的要领举行无文件加载。

●综合使用了多种开发语言的优势以抵达最佳的实战效果

虽然FireEye团队接纳.NET作为主要开发语言，但也综合使用了多种开发语言的优势以抵达最佳的实战效果。例如使用D语言举行后门的开发(DSHELL)、使用ruby加载shellcode，实现较量好的防御规避效果；使用python与golang实现跨平台的优异兼容性。

●包括了大宗首次披露的LOLBAS使用要领

值得注重的是占此次披露工具集中很大比例的PGF(PayloadGenerationFramework) 武器家族，包括了大宗LOLBAS使用要领，部分执行要领可能为首次披露但还需确认。

3.涉及误差使用情形

从FireEye宣布的信息来看，已被窃取的红队工具中使用了16个已知误差（非0day），所涉及工具包括操作系统，企业常用应用软件、网络装备等。经九游老哥科技M01N清静研究团队核实确认，这些误差均已果真误差POC，绝大部分也已有果真的误差EXP。侧面推测，这批红队工具中也包括其对误差的使用，以辅助完成对企业对红队评估。从红队手艺来看，已果真EXP的误差在众多大型内部网络中仍然没有完全被修复，使用乐成率仍然可观。同时，也看到修复这些误差将有用限制红队工具施展作用。

FireEye红队

FireEye在APT情报狩猎及APT组织跟踪方面的能力是天下一流的，虽然此次受到网络攻击，但从走漏的工具来看也能注重到FireEye在红队方面临一些能力：

1.敌手仿真手艺

红队保存的意义在于模拟真实的高级威胁，模拟敌手手艺对企业网络举行仿真攻击发明可能保存的清静短板。从走漏工具可以看出其中有大宗类APT的工具、手艺和手段，好比在使用Norton等清静产品的署名文件举行长期化，并将其作为CobaltStrike的扩展，种种都印证了FireEye红队确实是依赖其高级威胁情报系统睁开红队评估事情，包括模拟已知的和未知的威胁。

2.热门手艺

从九游老哥科技M01N清静研究团队对工具的整体梳理到所涉及部别离艺的剖析，不难看出FireEye红队极具国际红队的手艺气概，并能掌握攻击手艺生长的趋势去做立异，工具涉及了近两年较量热门的红队手艺，好比CLR Hosting、Gadget2JScript、Process Hollowing等。

仍需小心工具被袒露及滥用带来的危害

虽然这批工具并未包括0day，从红队角度来看也并没有涉及太多新的手艺，但这些较为成熟的专业红队工具一旦被袒露出来，极可能被恶意攻击者滥用，导致严重的清静事故。从FireEye急于释放规则的行动来看，这些规则极可能还没有被大规模检测，建议各清静厂商协助企业客户起劲防御，防患于未然。

九游老哥威胁情报中心（NTI）也已支持对该事务的在线检测（https://nti.nsfocus.com），已使用情报赋能的产品在升级包中也可获取响应IOC（一连更新）。

九游老哥威胁情报中心收录的详细IOC：

九游老哥科技M01N清静研究团队专注于Red Team、APT等高级攻击手艺、战术及威胁研究，涉及Web清静、终端清静、AD清静、云清静等相关领域。通过研判现网攻击手艺生长偏向，以攻促防，为危害识别及威胁对抗提供决议支持，周全提升清静防护能力。

M01N战队自2019年建设以来，荣获2020年第三届车联网信息清静手艺大赛一等奖、2020数字中国立异大赛虎符网络清静赛道一等奖、2020年第三届“强网”拟态防御国际精英挑战赛一等奖、2020WIDC天下智能驾驶挑战赛-信息清静挑战赛优胜奖、2020年工业信息清静手艺大赛二等奖、“第五空间”智能清静大赛二等奖、2020“巅峰极客”网络清静手艺挑战赛二等奖、2019“湖湘杯”网络清静手艺大赛一等奖、2019中国国际数字经济展览会数字经济云清静共测大赛一等奖、2019年工业信息清静手艺大赛一等奖。

九游老哥威胁情报中心

九游老哥威胁情报中心（NSFOCUS Threat Intelligence center, NTI）依托公司专业的清静团队和强盛的清静研究能力，对全球网络清静威胁和态势举行一连视察和剖析，以威胁情报的生产、运营、应用等能力及要害手艺作为焦点研究内容，推出了九游老哥威胁情报平台以及一系列集成威胁情报的新一代清静产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，资助用户更好地相识和应对种种网络威胁。

<<上一篇

《九游老哥君的咖啡时间》第七期：服务“重保”，清静产品怎样强力支持

>>下一篇

历经酣战显身手|烈鹰战队获2020贵阳大数据及网络清静精英对抗演练清静立异奖一等奖