Am 8. Dezember 2020 gab FireEye bekannt, dass das Unternehmen von einem hochentwickelten Bedrohungsakteur angegriffen wurde. Aufgrund der Art des Angriffs, der Disziplin, der operativen Sicherheit und der verwendeten Techniken vermutet FireEye, dass es sich um einen staatlich gesponserten Angriff handelt.
Bei den ersten Ermittlungen stellte sich heraus, dass der Angreifer die von FireEye verwendeten Red-Team-Tools gezielt gestohlen hatte. Diese Tools imitieren das Verhalten vieler Cyberkrimineller cybercriminels und ermöglichen es FireEye, die Sicherheitslage seiner Kunden zu testen und zu bewerten.
Was Vectra Nutzer wissen müssen
Vectra können Kunden beruhigt sein, denn sie sind vor Angreifern geschützt, die die gestohlenen Tools nutzen. Scrollen Sie nach unten, um einen Überblick über jedes Tool und die damit verbundenen Vectra Erkennungen zu erhalten.
FireEye veröffentlicht Open-Source-Erkennungen
Die gestohlenen Tools reichen von einfachen Skripten zur Automatisierung der Erkundung bis hin zu ganzen Frameworks, die öffentlich verfügbaren Technologien wie CobaltStrike und Metasploit ähneln.
FireEye hat im Laufe der Jahre an Popularität gewonnen, weil es Organisationen auf der ganzen Welt hilft, auf Sicherheitsverletzungen zu reagieren. Daher ist es keine Überraschung, dass ein führendes Unternehmen im Bereich Incident Response weiß, wie man angemessen reagiert. Innerhalb von 24 Stunden veröffentlichte FireEye die Liste der Signaturen, die die gestohlenen Tools für die beliebtesten Open-Source-Frameworks, darunter Snort, YARA, ClamAV und HXIOC, erkennen können, in einem öffentlichen Github-Repository und machte diese Tools damit effektiv unbrauchbar.
FireEye hat präzisiert, dass keine Zero-Day-Exploits durchgesickert sind, was bedeutet, dass die gestohlenen Tools bereits bekannte Schwachstellen ausnutzen. Nichtsdestotrotz ist die Erstellung benutzerdefinierter Red-Team-Tools für Angreifer mit einem erheblichen Zeitaufwand verbunden. Durch die Veröffentlichung der Signaturen zur Erkennung dieser Tools stellt FireEye sicher, dass Angreifer sie nicht verwenden können, ohne leicht entdeckt zu werden.
Wir begrüßen und loben FireEye für die Offenlegung dieses Vorfalls und die Zusammenarbeit mit der Sicherheitsgemeinschaft.
Überblick über Tools und Erkennungen
Nach Durchsicht der von FireEye zur Verfügung gestellten Informationen verstand das Sicherheitsforschungsteam von Vectra , welche Ziele viele der gestohlenen Tools verfolgten, wie sich diese Tools im Netzwerk präsentierten und wie der KI-Ansatz von Vectra ihre Verwendung in einem Angriff erkennen kann.
ADPASSHUNT: Ein Tool zum Diebstahl von Anmeldeinformationen, mit dem Passwörter für AD-Konten ermittelt werden können. Das gestohlene Tool würde es einem Angreifer ermöglichen, wertvolle Anmeldedaten zu identifizieren und sie zu nutzen, um tiefer in das Netzwerk einzudringen. VectraDie Warnmeldungen von Privilege Access Anomaly können die Verwendung gestohlener Zugangsdaten erkennen, unabhängig davon, wie und wo auf sie zugegriffen wird.
BEACON: Ein Befehls- und Kontrollwerkzeug, das DNS-, HTTP- und HTTPS-Protokolle nutzt. Die gestohlenen Tools nutzen eine Vielzahl von Cobalt Strike's Malleable Profilen, die es Angreifern ermöglichen, ihren Kontrollverkehr zu maskieren, um ihn als harmlos erscheinen zu lassen. Die Algorithmen von Vectra für versteckte DNS-Tunnel, versteckte HTTP-Tunnel und versteckte HTTPS-Tunnel wurden entwickelt, um bei diesen Arten von Kontrollkanälen zu warnen, unabhängig von den Tools, mit denen sie erstellt wurden. Die zugrunde liegende KI kann das zentrale Kontrollverhalten unabhängig von den verwendeten Umgehungstaktiken identifizieren.
FLUFFY: Ein Dienstprogramm, das Kerberoasting. Kerberoasting entwickelt wurde, würde es einem Angreifer ermöglichen, auf Hashes von Anmeldedaten zuzugreifen, die offline geknackt werden können und dazu verwendet werden können, sich seitlich im Netzwerk zu bewegen. Die Privilege Access Anomaly-Warnungen von Vectra können die Verwendung gestohlener Zugangsdaten identifizieren, unabhängig davon, wie und von wo aus auf sie zugegriffen wird.
IMPACKETOBF: Ein Dienstprogramm, das die Kommunikation über SMB und MSRPC unterstützt. Ein Angreifer würde diese Art von Tool verwenden, um mit einem gestohlenen Konto eine Remote-Ausführung durchzuführen und sich seitlich in der Umgebung zu bewegen. VectraDie Funktion "Suspicious Remote Execution" kann erkennen, wenn gestohlene Anmeldeinformationen zur Ausführung von Remote-Code verwendet werden.
PUPPYHOUND: Ein AD-Aufklärungsdienstprogramm. Das Tool ermöglicht es einem Angreifer, die Umgebung abzubilden und zu verstehen, welche Rechte und Berechtigungen erforderlich sind, um sein Ziel zu erreichen. Mehrere Vectra Modelle, RPC Recon, Suspicious LDAP Query und Automated Replication können verschiedene Aspekte dieser Art von Aufklärungsverhalten identifizieren.
REDFLARE (Gorat): Ein Befehls- und Kontrollwerkzeug. Dies würde es einem Angreifer ermöglichen, die Fernkontrolle über einen Host im Netzwerk auszuüben. VectraDer Hidden HTTP Tunnel wurde entwickelt, um vor dieser Art von Kontrollkanälen zu warnen, unabhängig von den Tools, mit denen sie erstellt wurden.
SAFETYKATZ / EXCAVATOR: Tools zum Auslesen von Zugangsdaten. Dies würde es einem Angreifer ermöglichen, Anmeldeinformationen zu stehlen und seitlich auf andere Host-Rechner überzugehen. VectraDie Alarme Privilege Access Anomaly und Suspicious Admin von SAFETYKATZ / SAFETYKATZ können die Verwendung gestohlener Anmeldeinformationen identifizieren, unabhängig davon, wie und von wo aus auf sie zugegriffen wird.
Wir sind hier, um zu helfen
Vectra steht Ihnen jederzeit zur Verfügung, wenn Sie Ihre Sicherheitsabläufe verbessern und Ihre Fähigkeiten zur Reaktion auf Vorfälle ausbauen möchten oder eine Risikobewertung im Zusammenhang mit dem FireEye-Verstoß benötigen. Die Experten von Vectra Advisory Services bieten eine breite Palette von Lösungen an, die auf die spezifischen Bedürfnisse Ihrer Organisation zugeschnitten sind, darunter auch Briefings für Führungskräfte.