اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

هک شدن ابزارهای تست نفوذ شرکت FireEye، بزرگترین شرکت امنیت سایبری

FireEye، بزرگترین شرکت امنیت سایبری

هکرها توانستند یکی از بزرگترین شرکت­های امنیت سایبری را هک کنند و ابزارهای پیشرفته تست نفوذ این شرکت تحت عنوان FireEye Red Team را به سرقت ببرند. با توجه به اینکه به نظر می‌رسد هم اکنون عده‌ای از مهاجمین این ابزارها را در اختیار دارند و مشخص نیست که می‌خواهند خودشان از آن استفاده کنند یا به‌صورت عمومی آن­ را منتشر نمایند، شرکت FireEye در حال انتشار چندین اقدام متقابل در قالب چندین Rule است تا به جامعه‌ی امنیتی توانایی حفاظت از خود در مقابل این ابزارها را بدهد. لازم به ذکر است که این اقدامات در محصولات FireEye گنجانده شده تا عملکرد عوامل مخرب Exploit کردن ابزارهای Red Team را محدود سازد.

ابزارها و تکنیک‌های Red Team

Red Team در واقع گروهی از متخصصان امنیتی هستند که سازمان‌دهی شده‌ و مجاز هستند رفتاری مشابه مهاجمین جهت حمله یا Exploitation در مقابل سیستم دفاعی یک سازمان داشته باشند و یک سناریوی نفوذ به ساختار یک سازمان را شبیه‌سازی نمایند. هدف Red Team این است که با نشان دادن تأثیرات حملات موفق و شیوه‌ی مقابله با آن‌ها در یک محیط عملیاتی به مدافعان یا همان Blue Team امنیت سایبری سازمان را بهبود بخشند. حدود 15 سال است که شرکت FireEye ارزیابی‌های Red Teamها را برای مشتریان در سراسر دنیا انجام می‌دهد. در این زمان، این شرکت مجموعه‌ای از Scriptها، ابزارها، اسکنرها و تکنیک‌ها را برای بهبود وضعیت امنیتی مشتریان ایجاد کرده است. متأسفانه این ابزارها توسط مهاجمینی بسیار حرفه ­ای به سرقت رفته‌ است.

ابزارهای دزدیده ‌شده‌ شامل موارد مختلفی است؛ از Scriptهای ساده که برای شناسایی خودکار مورد استفاده قرار می‌گیرد گرفته تا Framework‌های کاملی که مشابه تکنولوژی‌هایی مثل CobaltStrike و Metasploit هستند که در دسترس عموم قرار دارند. بسیاری از ابزارهای Red Team منتشر شده‌اند و در ماشین مجازی Open-Source این شرکت یعنی CommandoVM توزیع شده‌اند. برخی از این ابزارها به ‌صورت عمومی دردسترس هستند و طوری اصلاح گشته‌اند که از مکانیزم‌های امنیتی اساسی فرار کنند. ابزارها و Framework‌های دیگر به‌صورت داخلی و برای Red Team این شرکت توسعه یافته بودند.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


عدم سرقت تکنیک‌های Zero-Day Exploit

ابزارهای Red Team که توسط مهاجمین به سرقت رفته حاوی Exploitهای Zero-Day نبودند، بلکه این ابزارها شامل روش‌های شناخته شده و مستندات مربوط به آن است که توسط اکثر Red Teamها در سراسر دنیا مورد استفاده قرار می‌گیرد. هر چند که کمپانی FireEye معتقد است که اطلاعات و ابزارهای به سرقت رفته، مواردی خاصی نبوده و انتظار نمی رود که توانایی‌های کلی مهاجمین را بالا ببرد ولی این شرکت تمام تلاش خود را می‌کند که از بروز چنین سناریویی پیشگیری نماید. در ضمن اعلام شده است که تا کنون هیچ مهاجمی از ابزارهای به سرقت رفته استفاده نکرده و همچنین این شرکت با همراهی شرکای امنیتی خود بر روی چنین فعالیتی نظارت خواهند داشت.

اقدامات FireEye برای شناسایی ابزارهای هک شده این شرکت

برای اینکه افراد و سازمان‌ها بتوانند این ابزارها را شناسایی کنند، شرکت FireEye مواردی را جهت مقابله با این موضوع منتشر کرده است که به سازمان‌ها کمک میکند این ابزارها را شناسایی نمایند. همچنین این شرکت در پاسخ به سرقت ابزارهای Red Team خود، صدها Rule را برای تکنولوژی‌هایی مثل ClamAV ,Snort ,Yara و OpenIOC که به ‌صورت عمومی دردسترس هستند، منتشر کرده است.

بیشتر بخوانید: هک شدن مشخصات کارت اعتباری مشتریان سایت Acer

همچنین این شرکت در حال انتشارِ یافته‌‌های خود بوده و Repositoryهای عمومی را با اقدامات متقابل برای Host، شبکه و شاخص‌های مبتنی بر فایل بروزرسانی خواهد کرد و در همین ‌حال یافته‌های جدیدی را توسعه داده یا موارد قبلی را اصلاح می‌کند. علاوه ­براین، فهرستی از CVEها منتشر خواهد شد که باید مدنظر قرار گیرند.

راهکار حفاظت از کاربران در برابر ابزارهای هک شده FireEye

تیم‌های مختلف در شرکت FireEye برای ایجاد اقدامات مقتضی تلاش کرده‌اند تا از کاربران و سازمان‌ها محافظت گردد. این اقدامات در محصولات FireEye به کار گرفته شده‌اند و با شرکا از جمله وزارت امنیت به اشتراک گذاشته شده‌ است و آن‌ها نیز این اقدامات را در محصولات خود استفاده کردند تا کل جامعه را مورد پوشش قرار دهند.

انتشار Ruleها خاص جهت مقابله با هک شدن ابزارهای FireEye Red Team

این Ruleها به ‌صورت رایگان جهت استفاده کارشناسان و سازمان های IT فراهم شده است.

  • Snort
  • Yara
  • ClamAV
  • HXIOC

Ruleها در دو وضعیت دسته‌بندی شده‌اند:

  • Production: در واقع Ruleهایی هستند که انتظار می‌رود با حداقل تنظیم کار کنند.
  • Supplemental: Ruleهایی که برای عملکرد نیازمند تنظیم مخصوص به محیط هستند و معمولاً برای بارهای کاری مورد استفاده قرار می‌گیرند.

باید توجه کرد که کل ریسک مربوط به کیفیت و عملکرد این Ruleها مربوط به کاربران است.

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK
وبینار رایگان حملات apt