Le 8 décembre 2020, FireEye a annoncé qu'elle avait été victime d'une intrusion de la part d'un acteur de menace très sophistiqué. En raison de la nature de l'attaque, de la discipline, de la sécurité opérationnelle et des techniques utilisées, FireEye soupçonne qu'il s'agit d'une attaque parrainée par un État.
Au cours de l'enquête initiale, il a été découvert que l'attaquant avait ciblé et volé les outils Red Team utilisés par FireEye. Ces outils imitent le comportement de nombreux cyber cybercriminels' et permettent à FireEye de tester et d'évaluer la posture de sécurité de ses clients.
Ce que les utilisateurs de Vectra doivent savoir
Vectra peuvent dormir sur leurs deux oreilles en sachant qu'ils sont protégés contre tout attaquant utilisant les outils volés. Faites défiler vers le bas pour obtenir une vue d'ensemble de chaque outil et des détections Vectra associées à chacun d'entre eux.
FireEye publie des détections en source ouverte
Les outils volés vont de simples scripts utilisés pour automatiser la reconnaissance à des cadres entiers similaires à des technologies accessibles au public, telles que CobaltStrike et Metasploit.
FireEye a gagné en popularité au fil des ans en aidant les organisations du monde entier à réagir aux violations, il n'est donc pas surprenant qu'un leader de la réponse aux incidents sache comment réagir de manière appropriée. En l'espace de 24 heures, FireEye a publié la liste des signatures capables de détecter les outils volés pour les frameworks open-source les plus populaires, notamment Snort, YARA, ClamAV et HXIOC, dans un dépôt github public, rendant ainsi ces outils inutilisables.
FireEye a précisé qu'aucun exploit de type "zero-day" n'a été divulgué, ce qui signifie que les outils volés exploitent des vulnérabilités déjà connues. Néanmoins, la création d'outils Red Team personnalisés représente un investissement en temps considérable pour les attaquants. En publiant les signatures permettant de les détecter, FireEye s'assure que les attaquants ne peuvent pas les utiliser sans être facilement repérés.
Nous félicitons FireEye pour sa divulgation et sa collaboration avec la communauté de la sécurité concernant cet incident.
Aperçu des outils et des détections
Après avoir examiné les informations communiquées par FireEye, l'équipe de recherche en sécurité de Vectra a compris les objectifs d'un grand nombre des outils volés, la manière dont ces outils se présenteraient sur le réseau et la façon dont l'approche IA de Vectra peut identifier leur utilisation dans le cadre d'une attaque.
ADPASSHUNT : Outil de vol d'informations d'identification conçu pour localiser les mots de passe des comptes AD. L'outil volé permettrait à un attaquant d'identifier des informations d'identification précieuses et de les utiliser pour se déplacer latéralement plus profondément dans le réseau. VectraLes alertes d'anomalie d'accès aux privilèges d'ADPASSHUNT peuvent identifier l'utilisation d'informations d'identification volées, quels que soient le mode et le lieu d'accès à ces informations.
BEACON : outil de commande et de contrôle exploitant les protocoles DNS, HTTP et HTTPS. Les outils volés tirent parti d'une variété de profils malléables de Cobalt Strike, ce qui permet aux attaquants de masquer leur trafic de contrôle pour le faire paraître bénin. Les algorithmes Hidden DNS Tunnel, Hidden HTTP Tunnel et Hidden HTTPS Tunnel de Vectra ont été conçus pour détecter ces types de canaux de contrôle, quels que soient les outils utilisés pour les créer. L'IA sous-jacente peut identifier le comportement de contrôle de base, quelles que soient les tactiques d'évasion utilisées.
FLUFFY : Un utilitaire conçu pour effectuer Kerberoasting. Kerberoasting permettrait à un attaquant d'accéder à des hachages d'informations d'identification qui peuvent être craqués hors ligne et utilisés pour se déplacer latéralement dans le réseau. Les alertes d'anomalie d'accès aux privilèges de Vectra permettent d'identifier l'utilisation d'informations d'identification volées, quels que soient le mode et le lieu d'accès.
IMPACKETOBF : Un utilitaire capable de prendre en charge la communication via SMB et MSRPC. Un attaquant utiliserait ce type d'outil pour effectuer une exécution à distance à l'aide d'un compte volé afin de se déplacer latéralement dans l'environnement. VectraLe logiciel Suspicious Remote Execution permet d'identifier les cas où des informations d'identification volées sont utilisées pour exécuter du code à distance.
PUPPYHOUND : utilitaire de cartographie de reconnaissance AD. Cet outil permet à un attaquant de cartographier l'environnement et de comprendre quels droits et autorisations sont nécessaires pour atteindre son objectif final. Plusieurs modèles Vectra , RPC Recon, Suspicious LDAP Query et Automated replication permettent d'identifier différents aspects de ce type de comportement de reconnaissance.
REDFLARE (Gorat) : Un outil de commande et de contrôle. Il permet à un pirate d'exercer un contrôle à distance sur un hôte du réseau. VectraHidden HTTP Tunnel a été conçu pour alerter sur ces types de canaux de contrôle, quels que soient les outils utilisés pour les créer.
SAFETYKATZ / EXCAVATOR : outils de vidage d'informations d'identification. Cela permettrait à un attaquant de voler des informations d'identification et de se déplacer latéralement vers d'autres machines hôtes. VectraLes alertes d'anomalie d'accès aux privilèges et d'administration suspecte de SAFETYKATZ peuvent identifier l'utilisation d'informations d'identification volées, quels que soient le mode et le lieu d'accès.
Nous sommes là pour vous aider
Vectra est toujours disponible si vous avez besoin d'améliorer vos opérations de sécurité et de renforcer vos capacités de réponse aux incidents ou si vous avez besoin d'une évaluation des risques liés à la violation de FireEye. Les experts de Vectra Advisory Services proposent une large gamme de solutions adaptées aux besoins spécifiques de votre organisation, y compris des réunions d'information pour les cadres.