Brecha de FireEye: Detección del Kit de Herramientas del Red Team Filtrado
Esta semana la comunidad de ciberseguridad quedó impactada por la noticia de que una de las principales empresas de seguridad fue comprometida por un grupo APT sofisticado sin nombre. Los adversarios estaban interesados en herramientas de Red Team utilizadas por FireEye para probar la seguridad de sus clientes y buscaron información relacionada con clientes gubernamentales. Una investigación está en curso y la División de Ciberseguridad del F.B.I. está involucrada. Aunque no se ha informado oficialmente sobre los hackers sospechosos, según The New York Times, los agentes del F.B.I. involucrados se especializan en investigar asuntos relacionados con Rusia, por lo que no hay duda de quién es el principal sospechoso.
Será muy interesante conocer los detalles y resultados de esta investigación, ya que no es común que los hackers logren comprometer organizaciones tan bien protegidas. Florian Roth publicó en su cuenta de Twitter: «La brecha de FireEye no se trata realmente de herramientas de Red Team o datos de clientes. Se trata posiblemente de datos confidenciales robados sobre grupos de amenazas de alto perfil. Quiero decir, ellos saben más sobre algunos actores que la mayoría de los aparatos de inteligencia de los estados.» Y realmente puede ser así. Al haber recibido datos de inteligencia sobre otros grupos de amenazas, los hackers podrán no solo disfrazar sus acciones o utilizar eficazmente herramientas «ajenas», sino inclusoapoderarsede la infraestructura de alguien más o usarla para sus campañas.
FireEye supone que las herramientas robadas se utilizarán en ciberataques, por lo que compartieron contramedidas e IOCs en su cuenta de GitHub. Se publicaron reglas de Snort, Yara, ClamAV y HXIOC, y nuestro equipo de contenido convirtió las reglas convertibles de HXIOC a formato Sigma para que puedan ser adaptadas a las reglas para múltiples plataformas de seguridad. Las reglas de la comunidad para detectar un posible abuso de las herramientas de FireEye Red Team están disponibles en Threat Detection Marketplace.
Gracias a Sittikorn Sangrattanapitak, Emir Erdogan, y Osman Demir, participantes activos en el Threat Bounty Program, quienes publicaron sus reglas para detectar las herramientas filtradas de Red Team tools.
|
|
|
|
Herramienta FireEye Red Team – Ejecución sospechosa de MSBUILDME de userinit.exe |
|
Herramienta FireEye Red Team – Carga sospechosa de DLL (mediante ImageLoad) |
|
|
|
|
Herramienta Fireeye Red Team – Ejecución sospechosa de RUNDLL32 (mediante cmdline) |
|
|
Herramienta Fireeye Red Team – Proceso padre texttransform.exe |
|
|
|
|
Herramienta FireEye Red Team – Árbol de procesos sospechoso G2JS |
|
|
Herramienta FireEye Red Team – Ejecución sospechosa G2JS de colorcpl.exe |
|
|
Herramienta FireEye Red Team – WMIEXEC de Impacket modificado (mediante cmdline) |
|
Proceso secundario inusual SearchProtocolHost (mediante cmdline) |
|
Posible utilidad IMPACKET-OBFUSCATION WMIEXEC o SMBEXEC (mediante cmdline) |
|
Posible secuestro packageIdentification.dll (mediante imageload) |
|
Herramienta FireEye Red Team – execavator.exe (mediante registry) |
|
Posible secuestro chrome_frame_helper.dll (mediante imageload) |
|
Posible secuestro api-ms-win-downloevel-shell32-l1-1-.dll (mediante imageload) |
|
Posible secuestro anything.cpl o anything.dll (mediante imageload) |
|
Herramienta FireEye Red Team – SMBEXEC de Impacket modificado (mediante registry) |
|
Herramienta FireEye Red Team – SMBEXEC de Impacket modificado (mediante cmdline) |
|
Herramienta Fireeye Red Team – execavator.exe (mediante cmdline) |
|
Herramienta FireEye Red Team – ADPASSHunt (mediante cmdline) |
