最近,美国网络安全经销商FireEye武器装备等级的红队进攻工具被盗。为限定此次事情的危害范畴,其快速递交对于此次被盗工具的防御计划方案,发布了"hundreds of countermeasures"(数百种防范措施)。可以预料此次遗失的武器装备等级的工具,可能是FireEye很多年积攒的干货知识,知名度极大,假如被居心叵测的人运用,会造成难以估量的损害。
亚信安全情报搜集精英团队和关键市场部,做为一直长期性关心蓝红防御的分析精英团队,第一时间梳理本次事情,并开展了进一步的剖析。
以红队角度看FireEye武器装备归类
FireEye并没对此次被盗工具做出具体的详细介绍,但人们的剖析工作人员勤奋复原了他们的原状,而且揭露这种工具的基本功能和危害。
红队被盗工具分成四类:
1.根据开源软件的工具:这种鲜红色精英团队工具是开源系统工具的稍微改动版本号,占有率35%。
2.根据内嵌Windows二进制文件的工具:这种工具应用称之为LOLBIN(不落地式二进制文件)的内嵌Windows二进制文件,占有率8.3%。
3.内部结构为FireEye的Red Team开发设计的工具:这种工具是特意为FireEye的Red Team应用而研发的,占有率40%。
4.沒有充足数据信息做好研究的工具:剩余的工具沒有非常的统计数据来对其剖析,占有率17%。
【图1. 工具由来布局图】
此次泄露工具的有效载荷中涉及到CVE16个,但不包含0-day系统漏洞。
从此次粗略地剖析看来,被盗工具由来繁杂,涉及到CVE较多,且多分散于不一样的进攻层面。由于那样的状况,规定公司的安全防护的商品与对策要根据:不仅从全局性角度、大局意识见解考虑,也需要兼具网络黑客思维方式的部分见解来搭建,那样的对策安全防护就离不了ATT&CK的具体指导。
根据ATT&CK实体模型看立体式防御的必要性
ATT&CK的全名是“Adversarial Tactics,Techniques,and Common Knowledge”,它是一个立在网络攻击的角度来叙述进攻中各环节使用的技术性实体模型,这种进攻实体模型根据TTP (Tactics,Technichques, Procedures)来叙述。该实体模型早已成为了领域通识性,被很多的网络安全企业应用,而且形成了较好的防御实际效果,尤其是现阶段较为盛行的无文档进攻等APT攻击,具备较好的实际效果。
通过大家的剖析,本次被盗的进攻工具一共涉及到下列ATT&CK的TTP对策:
【图2. 被运用TTP进攻对策】
从图2中能够看见,此次被盗工具包揽12个进攻环节中的11个,共包含约40个进攻对策点。危害之广、遮盖之全,可见一斑,这也驱使大家安全性公司需要从攻击链的视角去考虑到此次事情产生的危害。
当代网络黑客的进攻,全是根据那样的一个假定:无论私有化的中小型企业,或是国有制的知名企业,都创建了系统化防御的工作能力。因此在搭建进攻工具的情况下,就不可以纯粹的构想根据单一的工具立即得到别人的操纵管理权限,获得需要的信息内容,与此同时还不容易给另一方留有把手。要达到明确的总体目标,必须根据多元化的进攻构思,逐层攻克,掩藏印痕,才可以到达目地。
【图3. 被充分利用的TTP归纳】
例如在此次事情涉及到的TTP中,据不彻底统计分析,只是用于获得另一方各种各样情报信息的TTP达到15种,占有率达到1/3;分布式锁实行的TTP达到9种,关系的被盗工具很有可能有40好几个,占有率做到50%;这么多工具只是完成了攻击链的浏览和分布式锁工作中,还远沒有做到获得总体目标信息内容环节,从此由此可见这种工具运用的攻击面十分广,从一般的系统漏洞进攻,到硬件配置的侧频带进攻,再到社会工程学这些。那麼想从单一方面去作防御,相当于缘木求鱼,瞻前顾后。特别是在要留意变换根据特点库的防御逻辑思维,并不是说特点库没用,反而是说必须系统化的安全防护方式计划方案,从最底层的电脑操作系统,到顶层的各类运用、脚本文件实行这些这种都需要防卸。
下面,大家将选择一些典型性的工具,剖析其TTP标准以表述被盗工具和TTP标准中间的关联性。
1.ADPassHunt
它是一种凭据盗取工具,可寻找Active Directory凭据。该工具的YARA标准中有两个引人注意的字符串数组:Get-GPPPasswords 和Get-GPPAutologons 。Get-GPPPassword 是一个PowerShell脚本制作,用以查找根据组策略首选项(GPP)消息推送的账号的弱密码和更多信息。Get-GPPAutologons 是另一个PowerShell脚本制作,可从根据GPP消息推送的快速登录内容中查找登陆密码。这种脚本制作在PowerSploit中作为作用,PowerSploit是融合了PowerShell控制模块和脚本制作的主动进攻安全性架构。
关系的TTP标准:
MITRE ATT&CK Techniques
T1003.003电脑操作系统凭据存贮:NTDS
T1552.06不安全凭证:组策略首选项
2.WMIRunner
该工具用以运作WMI指令,融合WMI隐敝进攻对策,不运用第三方进攻就可以完成分布式锁,即长期性隐敝于受害人服务器,没法杀毒。
关系的TTP标准:
MITRE ATT&CK Techniques
T1047 Windows规范化管理
也有许多别的工具和TTP标准的关联性,根据这种TTP标准,网络攻击可以广泛出各种各样工具的变异,做到进攻的隐敝、无法检验、无法杀毒等实际效果。
根据以上剖析,大家得出以下结论:,私有云客户要想真真正正对本次泄露进攻工具搞好防御工作中,不仅必须防御正版工具的进攻,与此同时也需要充分搞好以上工具IOC变异防御,选用系统化的防御对策。
以XDR产生系统化安全防护管理体系
根据以上剖析,大家提议消费者要有一个系统化的安全防护管理体系来解决现阶段的事情,与此同时也可以解决将来的转变。此外,清除危害的计划方案并不是一劳永逸,要切合现阶段进攻的趋势分析。
所说系统化的安全防护,就是指不仅有事先发觉、事中解决进攻的工作能力,也是有可以过后免疫力同样危害的计划方案;不仅有根据传统式病毒防护的能力素质,也是有根据AI的高級危害解决方法;不仅有根据网络攻击的逻辑思维,也是有根据防御者的工作能力。因此,大家强烈推荐选用亚信安全的XDR解决方法,具备系统化安全防护工作能力,它不但具备根据ATT&CK架构的危害判断工作能力,与此同时适用互联网大数据干预剖析,人工神经网络判断等工作能力。
l根据ATT&CK架构的危害防御工作能力
亚信安全XDR根据已有重要设备的探测与回应优点,给予省劲的形式连接安全性数据监测,运用互联网大数据规范性数据类型、系统架构和连通性。根据各种各样关联数据,不断剖析转化成精确的ATT&CK危害主视图。
【图4. ATT&CK架构危害主视图】
l选用互联网大数据、人工神经网络和云计算平台
XDR可以意味着从EDR到新一代的飞越。做为云计算技术的物质,XDR可以达到安全性精英团队在储存、剖析和人工神经网络领域的可扩展性规定。根据互联网大数据、人工神经网络等工作能力,精准脱贫多层面危害,造成与之关系的TTP标准,给予更为专业化的事前事后防御对策。
【图5. TTP危害归类】
l快速响应
XDR不只是像传统式的SIEM那般处于被动地统计和分享报警,反而是积极鉴定并展现可使用的結果,根据关系变大“弱数据信号”。因而,系统软件不容易表明“以往发生什么事,企业必须调研”的报警,反而是表明“在X上,有什么类别的进攻产生,根据Y的连动,告之顾客网络攻击的途径及其怎么看待”。XDR关键从仅得出警示迁移到了给予弥补回应的计划方案。
【图6. 快速响应的危害主视图】
亚信安全XDR意味着了从点射仓筒到面立体式汇聚的真真正正变化。伴随着机构从COVID-19伤痛中摆脱,XDR可以协助公司在网络安全上应对新技术应用和网络资源的局限性,并解决机构以及区块链资产持续上升的危害。