El 8 de diciembre de 2020, FireEye anunció que habían sido vulnerados por un actor de amenazas altamente sofisticado. Debido a la naturaleza del ataque, la disciplina, la seguridad operativa y las técnicas utilizadas, FireEye sospecha que se trata de un ataque patrocinado por un Estado.
Durante la investigación inicial, se descubrió que el atacante había robado las herramientas Red Team utilizadas por FireEye. Estas herramientas imitan el comportamiento de muchos actores de ciberamenazas y permiten a FireEye probar y evaluar la postura de seguridad de sus clientes.
Lo que deben saber los usuarios de Vectra
Vectra los clientes pueden estar tranquilos sabiendo que están protegidos de cualquier atacante que aproveche las herramientas robadas. Desplácese hacia abajo para ver un resumen de cada herramienta y las detecciones de Vectra asociadas a cada una.
FireEye publica detecciones de código abierto
Las herramientas robadas van desde simples scripts utilizados para automatizar el reconocimiento hasta marcos completos similares a tecnologías disponibles públicamente, como CobaltStrike y Metasploit.
FireEye ha ganado popularidad a lo largo de los años por ayudar a organizaciones de todo el mundo a responder a las brechas, por lo que no es de extrañar que un líder en respuesta a incidentes sepa cómo responder adecuadamente. En menos de 24 horas, FireEye publicó en un repositorio público de Github la lista de firmas capaces de detectar las herramientas robadas para los marcos de código abierto más populares, como Snort, YARA, ClamAV y HXIOC, con lo que estas herramientas quedaron inutilizadas.
FireEye ha sido específico al afirmar que no se han filtrado exploits zero-day , lo que significa que las herramientas robadas aprovechan vulnerabilidades ya conocidas. No obstante, la creación de herramientas personalizadas del Equipo Rojo supone una importante inversión de tiempo para los atacantes. Al publicar las firmas para detectarlas, FireEye se asegura de que los atacantes no puedan utilizarlas sin ser detectados fácilmente.
Aplaudimos y elogiamos a FireEye por su revelación y colaboración con la comunidad de seguridad en relación con este incidente.
Resumen de herramientas y detecciones
Después de revisar la información compartida por FireEye, el equipo de investigación de seguridad de Vectra comprendió los objetivos de muchas de las herramientas robadas, cómo se presentarían esas herramientas en la red y cómo el enfoque de IA de Vectra puede identificar su uso en un ataque.
ADPASSHUNT: Una herramienta de robo de credenciales diseñada para localizar contraseñas de cuentas AD. La herramienta robada permitiría a un atacante identificar credenciales valiosas y utilizarlas para adentrarse lateralmente en la red. VectraLas alertas de anomalías de acceso a privilegios pueden identificar el uso de credenciales robadas independientemente de cómo y dónde se acceda a ellas.
BEACON: herramienta de mando y control que aprovecha los protocolos DNS, HTTP y HTTPS. Las herramientas robadas aprovechan una variedad de perfiles maleables de Cobalt Strike, lo que permite a los atacantes enmascarar su tráfico de control para que parezca benigno. Los algoritmos Hidden DNS Tunnel, Hidden HTTP Tunnel y Hidden HTTPS Tunnel de Vectra se diseñaron para alertar sobre este tipo de canales de control, independientemente de las herramientas utilizadas para crearlos. La IA subyacente puede identificar el comportamiento de control principal independientemente de las tácticas de evasión utilizadas.
FLUFFY: Una utilidad diseñada para realizar Kerberoasting. Kerberoasting permitiría a un atacante acceder a hashes de credenciales que pueden ser crackeados offline y utilizados para moverse lateralmente en la red. Las alertas de anomalías de acceso a privilegios de Vectra pueden identificar el uso de credenciales robadas, independientemente de cómo y desde dónde se acceda a ellas.
IMPACKETOBF: Utilidad capaz de soportar comunicación sobre SMB y MSRPC. Un atacante utilizaría este tipo de herramienta para realizar una ejecución remota con una cuenta robada para moverse lateralmente en el entorno. Vectra's Suspicious Remote Execution puede identificar cuándo se utilizan credenciales robadas para realizar la ejecución remota de código.
PUPPYHOUND: Una utilidad de mapeo de reconocimiento de AD. La herramienta permitiría a un atacante mapear el entorno y comprender qué derechos y permisos son necesarios para avanzar hacia su objetivo final. Múltiples modelos Vectra , RPC Recon, Suspicious LDAP Query y Automated replication pueden identificar diferentes aspectos de este tipo de comportamiento de reconocimiento.
REDFLARE (Gorat): Una herramienta de mando y control. Esto permitiría a un atacante ejercer control remoto sobre un host de la red. Vectra's Hidden HTTP Tunnel fue diseñado para alertar sobre este tipo de canales de control independientemente de las herramientas utilizadas para crearlos.
SAFETYKATZ / EXCAVATOR: Herramientas de volcado de credenciales. Esto permitiría a un atacante robar credenciales y desplazarse lateralmente a otros equipos host. VectraLas alertas Privilege Access Anomaly y Suspicious Admin pueden identificar el uso de credenciales robadas independientemente de cómo y desde dónde se acceda a ellas.
Estamos aquí para ayudar
Vectra está siempre a su disposición si necesita mejorar sus operaciones de seguridad y mejorar sus capacidades de respuesta a incidentes o necesita una evaluación de riesgos relacionada con la brecha de FireEye. Los expertos de Vectra Advisory Services ofrecen una amplia gama de soluciones adaptadas a las necesidades específicas de su organización, incluidas sesiones informativas para ejecutivos.