By Bhabesh Raj Rai, Associate Security Analytics Engineer

Tirsdag d. 8. december, offentliggjorde FireEye at de var blevet kompromitteret af en yderst sofistikeret, nationsstatslig gruppe, højst sandsynligt russisk, som brugte nye teknikker for at exfiltrere deres ”red team” værktøjer. FireEye hacket er nu anset som det størst kendte tyveri af cybersikkerhedsværktøjer siden hacket på NSA af ShadowBrokers.

FBI har bekræftet at indtrængningen var værket af en nationalstat men nægtede at kommentere yderligere. FireEye har ikke offentliggjort omfanget af indtrængningen, så for nu kan eksperter blot spekulere over skaden. Mange mennesker har i Infosec fællesskabet udtrykt deres holdning til hackingen og kommet på forskellige teorier, såsom at hackerne ikke stjal ”red team” værktøjer eller kunde-data men i stedet særdeles fortrolig intelligence data på højt profilerede ”threat groups”

Offensive cyber-værktøjer i hænderne på threat groups kan have alvorlige konsekvenser. Brugen af stjålne offensive cyber-værktøjer ”disrupts the attribution game” og gør det muligt for nation-statslige grupper at dække deres oprindelse.

Dog har FireEye erklæret at de stjålne red team værktøjer ikke indeholdte zero day exploits og udelukkende indeholdte velkendte og dokumenterede metoder som red teams bruger verden rundt. Selvom at FireEye sagde, at de ikke tror at tyveriet vil fremme angribernes offensive egenskaber, har de alligevel arbejdet på modforsvarsanstaltninger for at beskytte deres kunder og det bredere Infosec fællesskab. For at bemyndige organisationer til at spore brugen af stjålne værktøjer, har FireEye udgivet modforsvarsanstaltninger bestående af hundredevis af signaturer for teknologier som OpenIOC, Yara, Snort og ClamAV.

LogPoint kunder kan bruge de udgivne ”Snort” regler for at spore hvorvidt de offensive værktøjer bliver brugt imod dem.

(norm_id=Snort OR norm_id=SuricataIDS) message IN FEYE_RED_TOOLS_SIGS

Sikkerhedsforsker Florian Roth har udgivet en liste af matches for FireEye’s YARA regler. LogPoint kunder kan bruge hashes som IOCs for at slå dem op med ”Sysmon’s process creation events”.

norm_id=WindowsSysmon label="Process" label=Create hash IN FEYE_RED_TOOLS_HASHES

På nær endpoints, kan LogPoint korrelere IoC hashes med andre ressourcer, såsom firewalls og antivirus.

hash IN FEYE_RED_TOOLS_HASHES

Hvis Sysmon ikke er implementeret på enheden, kan kunder bruge procesnavnene i stedet, men det kan forsage mange falske positiver og er ikke anbefalet.

norm_id=WinServer label="Process" label=Create "process" IN FEYE_RED_TOOLS_NAMES

I effekt kan kunder bruge tre lister: FEYE_RED_TOOLS_SIGS der består af IoC snorts regel navne, FEYE_RED_TOOLS_HASHES der består af hashes og FEYE_RED_TOOLS_NAMES der består af procesnavne.

Et høj-profileret hack på et cybersikkerheds firma har yderligere fundamenteret ideen om at intet firma er i sikkerhed fra nation-statslige trusler og det kun er et spørgsmål om hvornår er et firma bliver kompromitteret. De uendelige ressourcer som nation-statslige grupper har adgang til, kan gennemtrænge forsvaret på selv de bedst forsvarede virksomheder.

Infosec fællesskabet afventer lige nu en detaljeret opskrivning om angrebet, og når det udgives, bør alle virksomheder være klar til at tilføje sporing for nye TTP’er brugt af nation-stats gruppen.

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser