هکرها توانستند یکی از بزرگترین شرکتهای امنیت سایبری را هک کنند و ابزارهای پیشرفته تست نفوذ این شرکت تحت عنوان FireEye Red Team را به سرقت ببرند. با توجه به اینکه به نظر میرسد هم اکنون عدهای از مهاجمین این ابزارها را در اختیار دارند و مشخص نیست که میخواهند خودشان از آن استفاده کنند یا بهصورت عمومی آن را منتشر نمایند، شرکت FireEye در حال انتشار چندین اقدام متقابل در قالب چندین Rule است تا به جامعهی امنیتی توانایی حفاظت از خود در مقابل این ابزارها را بدهد. لازم به ذکر است که این اقدامات در محصولات FireEye گنجانده شده تا عملکرد عوامل مخرب Exploit کردن ابزارهای Red Team را محدود سازد.
ابزارها و تکنیکهای Red Team
Red Team در واقع گروهی از متخصصان امنیتی هستند که سازماندهی شده و مجاز هستند رفتاری مشابه مهاجمین جهت حمله یا Exploitation در مقابل سیستم دفاعی یک سازمان داشته باشند و یک سناریوی نفوذ به ساختار یک سازمان را شبیهسازی نمایند. هدف Red Team این است که با نشان دادن تأثیرات حملات موفق و شیوهی مقابله با آنها در یک محیط عملیاتی به مدافعان یا همان Blue Team امنیت سایبری سازمان را بهبود بخشند. حدود 15 سال است که شرکت FireEye ارزیابیهای Red Teamها را برای مشتریان در سراسر دنیا انجام میدهد. در این زمان، این شرکت مجموعهای از Scriptها، ابزارها، اسکنرها و تکنیکها را برای بهبود وضعیت امنیتی مشتریان ایجاد کرده است. متأسفانه این ابزارها توسط مهاجمینی بسیار حرفه ای به سرقت رفته است.
ابزارهای دزدیده شده شامل موارد مختلفی است؛ از Scriptهای ساده که برای شناسایی خودکار مورد استفاده قرار میگیرد گرفته تا Frameworkهای کاملی که مشابه تکنولوژیهایی مثل CobaltStrike و Metasploit هستند که در دسترس عموم قرار دارند. بسیاری از ابزارهای Red Team منتشر شدهاند و در ماشین مجازی Open-Source این شرکت یعنی CommandoVM توزیع شدهاند. برخی از این ابزارها به صورت عمومی دردسترس هستند و طوری اصلاح گشتهاند که از مکانیزمهای امنیتی اساسی فرار کنند. ابزارها و Frameworkهای دیگر بهصورت داخلی و برای Red Team این شرکت توسعه یافته بودند.
عدم سرقت تکنیکهای Zero-Day Exploit
ابزارهای Red Team که توسط مهاجمین به سرقت رفته حاوی Exploitهای Zero-Day نبودند، بلکه این ابزارها شامل روشهای شناخته شده و مستندات مربوط به آن است که توسط اکثر Red Teamها در سراسر دنیا مورد استفاده قرار میگیرد. هر چند که کمپانی FireEye معتقد است که اطلاعات و ابزارهای به سرقت رفته، مواردی خاصی نبوده و انتظار نمی رود که تواناییهای کلی مهاجمین را بالا ببرد ولی این شرکت تمام تلاش خود را میکند که از بروز چنین سناریویی پیشگیری نماید. در ضمن اعلام شده است که تا کنون هیچ مهاجمی از ابزارهای به سرقت رفته استفاده نکرده و همچنین این شرکت با همراهی شرکای امنیتی خود بر روی چنین فعالیتی نظارت خواهند داشت.
اقدامات FireEye برای شناسایی ابزارهای هک شده این شرکت
برای اینکه افراد و سازمانها بتوانند این ابزارها را شناسایی کنند، شرکت FireEye مواردی را جهت مقابله با این موضوع منتشر کرده است که به سازمانها کمک میکند این ابزارها را شناسایی نمایند. همچنین این شرکت در پاسخ به سرقت ابزارهای Red Team خود، صدها Rule را برای تکنولوژیهایی مثل ClamAV ,Snort ,Yara و OpenIOC که به صورت عمومی دردسترس هستند، منتشر کرده است.
بیشتر بخوانید: هک شدن مشخصات کارت اعتباری مشتریان سایت Acer
همچنین این شرکت در حال انتشارِ یافتههای خود بوده و Repositoryهای عمومی را با اقدامات متقابل برای Host، شبکه و شاخصهای مبتنی بر فایل بروزرسانی خواهد کرد و در همین حال یافتههای جدیدی را توسعه داده یا موارد قبلی را اصلاح میکند. علاوه براین، فهرستی از CVEها منتشر خواهد شد که باید مدنظر قرار گیرند.
راهکار حفاظت از کاربران در برابر ابزارهای هک شده FireEye
تیمهای مختلف در شرکت FireEye برای ایجاد اقدامات مقتضی تلاش کردهاند تا از کاربران و سازمانها محافظت گردد. این اقدامات در محصولات FireEye به کار گرفته شدهاند و با شرکا از جمله وزارت امنیت به اشتراک گذاشته شده است و آنها نیز این اقدامات را در محصولات خود استفاده کردند تا کل جامعه را مورد پوشش قرار دهند.
انتشار Ruleها خاص جهت مقابله با هک شدن ابزارهای FireEye Red Team
این Ruleها به صورت رایگان جهت استفاده کارشناسان و سازمان های IT فراهم شده است.
- Snort
- Yara
- ClamAV
- HXIOC
Ruleها در دو وضعیت دستهبندی شدهاند:
- Production: در واقع Ruleهایی هستند که انتظار میرود با حداقل تنظیم کار کنند.
- Supplemental: Ruleهایی که برای عملکرد نیازمند تنظیم مخصوص به محیط هستند و معمولاً برای بارهای کاری مورد استفاده قرار میگیرند.
باید توجه کرد که کل ریسک مربوط به کیفیت و عملکرد این Ruleها مربوط به کاربران است.
