九游老哥

English

AI清静
清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

AI清静产品
AI清静解决计划

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

返回列表

FireEye 红队工具被盗事务防护计划

2020-12-11

一. 综述

外地时间12月8日，清静公司FireEye宣布博客体现，其内部网络遭到某高级组织攻击，FireEye红队工具箱遭窃取。

据FireEye称，此次被盗的红队工具主要用来为其客户提供基本的渗透测试服务，其中并不包括 0day 误差的使用和未果真手艺。所涉及工具包括开源工具、开源工具的二次开发版本以及部分自研武器化工具。从工具用途看基本笼罩了包括长期化、权限提升、防御绕过、凭证获取、域内信息网络、横向移动等攻击生命周期的各个阶段。其中部分工具此前已被宣布到社区和开源虚拟机CommandoVM中。

被窃的红队工具箱就像一个准时炸弹，无论攻击者是自己使用被盗工具照旧果真披露都将成为重大威胁，以是为了使各组织能提前接纳应对步伐，FireEye已宣布对策。九游老哥科技也在第一时间对FireEye果真的对策举行了剖析，现已能针对被盗工具和其涉及的误差提供检测及防护能力。

参考链接：

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

二. 手艺防护计划

2.1 FireEye官方对策

2.1.1 被窃工具检测规则

为了资助组织能够识别到被窃工具的恶意使用，FireEye 已将被窃工具的检测规则宣布到 Github。现在311个检测规则中包括YARA规则165个，SNORT规则34个，IOC规则88个，CLAMAV规则24个。Github客栈还会一连更新，详见：https://github.com/fireeye/red_team_tool_countermeasures

2.1.2 被窃工具涉及误差

在FireEye果真的Github客栈中，还宣布了与被窃工具相关的16个已知误差，误差影响操作系统，企业常用应用软件、网络装备等。尽快修复这些误差能有用限制红队工具施展作用。

误差列表如下：

误差编号	误差名称
CVE-2014-1812	Windows 外地提权
CVE-2016-0167	Microsoft Windows 老版本外地提权
CVE-2017-11774	Microsoft Outlook中通过诱导用户手动执行文档（垂纶）实现RCE
CVE-2018-13379	Fortinet Fortigate SSL VPN预授权恣意文件读取
CVE-2018-15961	Adobe ColdFusion RCE（可用于上传JSP Web shell）
CVE-2018-8581	Microsoft Exchange Server 特权提升
CVE-2019-0604	Microsoft Sharepoint RCE
CVE-2019-0708	Windows 远程桌面服务（RDS）RCE
CVE-2019-11510	Pulse Secure SSL VPNs 预授权恣意文件读取
CVE-2019-11580	Atlassian Crowd RCE
CVE-2019-19781	Citrix应用交付控制器和Citrix网关的RCE
CVE-2019-3398	Confluence需经认证的 RCE
CVE-2019-8394	ZoHo ManageEngine ServiceDesk Plus 预授权恣意文件上传
CVE-2020-0688	Microsoft Exchange RCE
CVE-2020-10189	ZoHo ManageEngine Desktop Central RCE
CVE-2020-1472	Microsoft Active Directory 特权提升

建议系统治理员实时排查自身资产是否易受这16个误差的影响，若有影响应实时装置补丁修复。

https://github.com/fireeye/red_team_tool_countermeasures/blob/master/CVEs_red_team_tools.md

2.2 暂时解决计划

建议系统治理员团结自身资产情形，判断营业系统是否受到红队工具箱中涉及的16个误差影响，并实时装置响应补丁举行防护。

FireEye还宣布了用于检测泄露红队工具的多个检测规则，治理员可以凭证自身情形使用FireEye提供的YARA,SNORT或者CLAMAV规则来检测与防护。详细操作可从参考官方指导文档：

YARA：https://yara.readthedocs.io/en/stable/yarapython.html

SNORT：https://snort.org/documents

ClamAV: http://www.clamav.net/documents/clam-antivirus-user-manual

2.3 九游老哥科技检测防护建议

九游老哥科技已经凭证现有信息，针对本次泄露的红队攻击工具举行了应急处置惩罚。

随着FireEye的规则更新，九游老哥科技也会一连跟进，提供检测与防护能力，请用户坚持关注。

2.3.1 针对被窃红队工具的检测与防护

为了应对潜在的使用本次泄露攻击工具举行的攻击，九游老哥科技已凭证 FireEye果真的规则信息在九游老哥科技威胁剖析系统(TAC) 中更新，为用户提供检测与防护能力。

http://update.nsfocus.com/update/listTacDetail/v/ruleV2.0.2

同时，九游老哥科技情报中心（NTI）已经收录和支持此次泄露工具的ioc。

https://nti.nsfocus.com/

九游老哥·(中国)俱乐部官方网站

二.3.2 针对被窃工具相关误差的检测与防护

比照FireEye官方宣布的被窃工具相关误差列表，九游老哥科技经确认，涉及的16个误差均可被检测与防护，建议安排了以下装备的用户尽快升级到最新版本。

检测类产品：远程清静评估系统（RSAS V6）、入侵检测系统(IDS) 、统一威胁探针（UTS）。

l 远程清静评估系统（RSAS V6）http://update.nsfocus.com/update/listRsas

l 入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

l 统一威胁探针（UTS）

http://update.nsfocus.com/update/bsaUtsIndex

防护类产品：入侵防护系统（IPS）、Web应用防护系统（WAF）。

l 入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

l Web应用防护系统（WAF）

http://update.nsfocus.com/update/wafIndex

平台类产品：

l 九游老哥全流量威胁剖析平台（TAM）

/html/2019/210_1009/63.html

l 九游老哥企业清静平台（ESP-H）

/html/2019/209_1230/96.html

以上产品针对各误差的检测防护升级包情形详见“附录A 相关误差检测防护详情”。

三. 事务启示

由FireEye的红队工具箱被窃一案，很容易就遐想到前些年“方程式组织”武器库多次被曝光事务，后者昔时在网络清静领域也是引起了轩然大波。也是从那时起，网络军器泄露、扩散所能造成的影响和危害被全球真正见识到，事实有相当一部分人都体验过被WannaCry支配的恐惧。

红队工具一旦被扩散，会为潜在的攻击者提供极大的便当，严重破损攻防平衡。因此类似工具库的持有者应越发注重：

1. 合理存放和保管

除了物理存放清静，还可以通过类似PGP等硬加密方法将工具举行加密，纵然泄露，也无法解密使用，可以有用降低工具泄露后造成的危害。

2. 增强治理

对这些工具的会见控制严酷治理，通过设置权限级别来限制会见的职员。同时使用日志纪录，以便随时盘问会见纪录，发明异常会见与操作。

3. 增强职员操作规范

设置了软件层面的存放和治理规范后，还要增强职员培训，阻止不对规和误操作，导致类似敏感工具的泄露。

本次泄露事务再次为清静厂商敲响了警钟，各人都应越发重视类似“武器库”在攻防博弈中的作用，同时增强相关内部治理，提高响应处置惩罚能力，阻止此类事务的爆发并降低事后造成的影响。

附录A 相关误差检测防护详情

误差编号	九游老哥产品规则	升级包版本号
CVE-2014-1812	RSAS	系统插件V6.0R02F01.2012
CVE-2016-0167	RSAS	系统插件V6.0R02F01.2011
CVE-2017-11774	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.20655
	UTS	5.6.10.20655
CVE-2018-13379	RSAS	系统插件 V6.0R02F01.1812
CVE-2018-13379	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004981 fortios_lang_ptravel
CVE-2018-15961	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.24166
	WAF	“文件不法上传防护”战略即可防护
	UTS	5.6.10.24166
CVE-2018-8581	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.21152
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004964 exchange_privilege_elevation
	UTS	5.6.10.23542
CVE-2019-0604	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.23040
	UTS	5.6.10.23040
CVE-2019-0708	RSAS	系统插件 V6.0R02F01.1411
	IPS	5.6.10.20383
	UTS	5.6.10.23542
CVE-2019-11510	RSAS	系统插件 V6.0R02F01.1812
	IPS	5.6.10.21238
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004979 pulse_abfile_read
CVE-2019-11580	RSAS	系统插件 V6.0R02F01.1505
	IPS	5.6.10.24166
	WAF	“文件不法上传防护”战略即可防护
	UTS	5.6.10.24166
CVE-2019-19781	RSAS	系统插件 V6.0R02F01.1812
	IPS	5.6.10.22558
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004971 citrix_gateway_ptravel
	UTS	5.6.10.23542
CVE-2019-3398	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.24166
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004887 confluence_upload_path_travel
	UTS	5.6.10.24166
	IPS	5.6.10.19741
	WAF	“文件不法上传防护”战略即可防护
	UTS	5.6.10.19741
CVE-2020-0688	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.22068
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004936 exchange_deserialization_rce
	UTS	5.6.10.23542
CVE-2020-10189	RSAS	系统插件V6.0R02F01.2011
	IPS	5.6.10.22284
	WAF	6.0.7.0.46716/6.0.7.1.46716 规则ID27004940 zoho_central_deserialization
	UTS	5.6.10.23542
CVE-2020-1472	RSAS	RSAS：系统插件 V6.0R02F01.1917
	IPS	5.6.10.23542
	UTS	5.6.10.23542

附录B 产品使用指南

四.

4.1 RSAS扫描设置

在系统升级中，点击下图红框位置选择文件。

九游老哥·(中国)俱乐部官方网站

选择下载好的响应升级包，点击升级按钮举行手动升级。期待升级完成后，可通过定制扫描模板，针对此次误差举行扫描。

4.2 UTS检测设置

在系统升级中点击离线升级，选择规则升级文件，选择对应的升级包文件，点击上传，期待升级乐成即可。

九游老哥·(中国)俱乐部官方网站

4.3 IPS防护设置

在系统升级中点击离线升级，选择系统规则库，选择对应的文件，点击上传。

九游老哥·(中国)俱乐部官方网站

更新乐成后，在系统默认规则库中查找规则编号，即可盘问到对应的规则详情。

九游老哥·(中国)俱乐部官方网站

注重：该升级包升级后引擎自动重启生效，不会造成会话中止，但ping包会丢3~5个，请选择合适的时间升级。

4.4 WAF防护设置

在WAF的规则升级界面举行升级：

九游老哥·(中国)俱乐部官方网站

手动选择规则包，提交即可完成更新。

4.5 TAM设置

进入全流量产品：

九游老哥·(中国)俱乐部官方网站

进入规则升级页面，点击场景治理-场景设置-上传，上传文件。

九游老哥·(中国)俱乐部官方网站

文件上传乐成后效果如下图所示：

九游老哥·(中国)俱乐部官方网站

4.6 ESP-H设置

第一步：登录ESP/ESP-H平台

第二步：进入清静剖析-事务规则

第三部：如下图，点击导入规则。

九游老哥·(中国)俱乐部官方网站

声明

本清静通告仅用来形貌可能保存的清静问题，九游老哥科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失，均由使用者自己认真，九游老哥科技以及清静通告作者不为此肩负任何责任。九游老哥科技拥有对此清静通告的修改息争释权。如欲转载或撒播此清静通告，必需包管此清静通告的完整性，包括版权声明等所有内容。未经九游老哥科技允许，不得恣意修改或者增减此清静通告内容，不得以任何方法将其用于商业目的。

关于九游老哥科技

九游老哥（简称九游老哥科技）建设于2000年4月，总部位于北京。在海内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有焦点竞争力的清静产品及解决计划，资助客户实现营业的清静顺畅运行。

基于多年的清静攻防研究，九游老哥科技在网络及终端清静、互联网基础清静、合规及清静治理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程清静评估以及Web清静防护等产品以及专业清静服务。

九游老哥于2014年1月29日起在深圳证券生意所创业板上市，股票简称：九游老哥科技，股票代码：300369。

<<上一篇

【清静通告】OpenSSL拒绝服务误差（CVE-2020-1971）

>>下一篇

【清静通告】SolarWinds供应链攻击

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号