FireEye红队工具IOC披露

概述：

2020年12月8日，美国著名网络安全公司FireEye发布通告称，其被国家级APT组织入侵，并窃取了其红队在进行渗透测试过程中使用的工具合集。并提到了该国家级APT组织主要目的是查看火眼的客户资料，同时有新闻报道称FBI将此事件交给对俄分析专家组。

而火眼公司为了防止这类红队测试工具被攻击者滥用，因此将关于这些工具的检测规则发布于Github，截图如下：

（Github地址：https://github.com/fireeye/red_team_tool_countermeasures）

 

事件分析

其中，我们基于FireEye公司发布的all-yara.yar文件，从奇安信样本库中进行扫描，发现了一些关于这些工具的样本。

（all-yara.yar文件部分截图）

为了让业界更好的进行相关红队工具检测，我们于附录发布了基于yara规则扫描的MD5列表，有需要可移步文末进行查看。该结果还参考了推特网友Florian Roth的扫描结果。

 （表格来自：https://docs.google.com/spreadsheets/d/1uRAT-khTdp7fp15XwkiDXo8bD0FzbdkevJ2CeyXeORs/edit?usp=sharing）

在对扫描的结果进行分析过程中，我们发现了一些关于火眼红队进行测试的样本，其中我们发现火眼的红队会模仿其他APT组织的攻击手法进行攻击。

如hash：69f998bd67a5dbfd79bcc44f0cf2284ed61fac9bfaba3d3b4dfb19a57baa29c5

 该样本在此前被判断为ProjectM组织的攻击，我们基于该结果，判断火眼可能存在模仿其他APT组织的行为。

同时，卡巴斯基安全研究员也提出了另一个案例，通过火眼公司的规则，扫描出其构造的恶意文档，该恶意文档具备APT攻击的特性。

 

总结

专门分析APT组织的公司，被APT组织成功入侵，这个案例需要提醒我国从业者，在提升网络安全能力的同时，自身的网络安全也需要做好。同时，由于一些APT组织攻击手法并不复杂，因此容易被其他攻击者进行模仿，这种名为假旗的行为也需要提防。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对火眼红队样本的精确检测。（Ti.qianxin.com）

 

附录：

MD5：

b9c7deb0d1783c971f7eb9d08ad9c8c8

f4a4c34ce46490fec6ce00fedd1a4091

6065e2888e1d8dc6716cde626a7011ae

618e30a0f5aa6119ea7687399227e776

d6a69f04e8747428f7dab5b03b50e7fa

e78cfa3c8c63eff71020f4f709321a2e

9cb1fa49d92d6473693acf507802bfae

055cda6fdd1816579192667d59b9bf63

1985ec69f39400e1c6acbe6f31d04906

ffb41e9ffd824784b6ab5f24fabcad14

91aeba7d239fb32ad596f86dfd0c283e

9cacdb4b14a94bff07ce9cde90f6680a

d2be8c7ab64648efd20ea60defc8348f

d6c86ad30833bf1705c66d7c39dc14f6

2744f6cd65f3224acc15da1f376c2c89

29889d4e0257fcb9b2115fbaf60a288d

826257e6b8b3c6ad16e80078ee9d8ead

37821cc1570359bffe8a39c232313be7

063a21668fac6562e947322855b1c8f8

18b4b628af390212182fc083946e0f92

8ec65a8e0267e9a2cb3305556daa394d

457af86f65e9a9cf90c8191970bc5024

b997b8b40e229a14d59bb50f95650558

bf18a516dae5567acaf57899085b3d26

c21667b26a69d1c59e34b7c72b213afc

6aa5a7cb62a32e13b36f66a30de55f64

2aa34871b1d36c01896968050c662d18

d507987ed2022e929ec5b43a002a8d6f

e66f9d44e3eead16613ca5cf2f299f4d

94f691d9e79c7035c1b4bc1c183cc77e

08710f09afdb9824d76b7e74a7ff619a

c2f04d44cb2bbdcc9e24869ec8d09af5

6106ab1ea4b9b422e5ca797f5cc36f10

ce58aab12a9a31173cd8c99b12ef00f5

00944e3901e8df234bdef456888389fe

45368240409933f9ea667f49c27d337a

a586e48af444bfcea181d10eb1f16c10

8711071f5327cb7dc43525e35d541560

bbaca7cb1ba8f613cd50c86695e8dd7c

3452fcdc86c04d73b9d6e248360aa70d

99bca59e14c269c791068055da192fec

5a30d955c13eb19c2b3d059257d141b5

c60cd46a33777c4bbad2afafb6be833a

a9813ad9955e393f3726e2e1181ba57e

67e49fbe2a0a11971d3f3b9cff799f35

50f6d6a572850bb9d54db53f6b819338

3e4a6982f9b4bc0e52644a0ed1068257

37e88291c8b7106b0d02edb76fe58f22

30b40f4c88cc0072f143c4123ffc2bbc

4917546cbfe983f87b5a4ed516f37913

66e0681a500c726ed52e5ea9423d2654

b188cec9b3b6d3ea2c51ee231a8a02d5

a33091786d1e261bda3dc34c1664d536

24e1ee25aab475d362e4d41d70fd43c7

f7f5201ea25bd7872547d18fcd309ec3

2439cc085aecc4b5e994d14fbff8d317

e8de957b31e47a968c10dcfca4151076

c280980a8d9b104090f935778f7ff16d

17fcbb747fd75d2c4ad8fbe7cff458ac

032c26166bff2fe4e99af44e0c2f66e7

37dce134614bfe61c2865a245528f215

7ceb7f3dc2f65aa829e65ee7650da010

1620245c600b1e2df9ddf5954bfcf742

c4f633401814ac5fd6bf40aedcdf2647

1fa0665a44cfb8ce46a47ff4e259f0b1

315b9d17983236af8283fe610b8b8a27

dae087e18ea7ba404a6aaac56c51c6de

50842330e342a17974dcfc5a742a78b8

050a3b5f2889e021f1e324fb8296ca31

69e51ef01af747fbeeadd5944f829f5b

cf22ebafd3860942810595c2466ad3c0

39aa003268c99ceeb9007510a42252df

8a664cc39c5bf13cec1a94fc4f7cfc32

7d280516fc77a4ca07fbd61dfb27702b

40d0bd5be5b7fd2e16d1e90daf79275a

d01a5bac93efd751471d2a251fe03d1f

3925eaf7944f5a000d781c32745e4ca3

fa4f1a53806ed122ab35edf8a190048c

785967c4f252639d2aaff0063093f7cc

302db7655a76c6453489329b81958414

be46e04964bf1efce9a91b06fc4f2302

463e2438a409feada7d47ebdeb91dc5d

ed00e37b7f294a775fea7870c534b9bc

f1579433e33a0fb01b84ac6f46d23ce5

39176c4f54ba908ac98150e54ab95f68

3fdc613293f94f469d4e5c6a12b95dc8

8d1c1ea43d70713ddf1694336e0be4f5

0c7a7ff5442b5240e481f94d8e94306b

ab0a26d8039adda9123b2340ace09639

c92c1364cdcf0d43b3b7028902470c0f

7f3f4400d302db11b00f78f58b3efb9a

f8dcf98925f5ab71c6d4360c37d50d83

22a1fa6fe8d3cb18986f186893495f60

1278663528c7646542ae2f8a3a2d5abb

00efae70ad1e80c2229f6b105ce7c76c

b78e37d0dea7370c95162f591ca7e5a0

8bb9caac1d7df97c43ab283fd6704c2c

fedc8c554106e8380987bed396136402

f9e2b1007c4752b808b8acb0060c12cb

3221d60cc531d6f56844f75d6fe8830e

f28968705737f43ec7f253e22e1b7146

3c48ac4312765b53133ffde4d67dd410

2ab45bf1db2f0e797116b26248580704

8028bb01477b32ff99b627d75444bd22

dd85dd41958ff70542a5373c0bc949c8

f7b9b2e1c9bf9f1eaa45ea3be915e581

c16d31577d4ddb6869f7e2a7977b7c42

6221f936ccfce259f0b1b6da063742c9

22faa16e6f79e25b81b60b9bb80a2fdf

5c0a5d1df830dcd6987c9bf0f3ec68c5

bae847e8f1be533f52db37112dd93650

4dfcd5e9710ab35fbcaf40ed74f18295

4bc217374731ae8289936ba2e422af76

0b1110eeceee2d24cb4e50ac00f62e13

7477da8b06ad7cf0b404ccd4bee76b75

ee48aa8d8768b023fb1dc1e4f43a1644

7748fd8d4294b0005d4d1ab6cf041461

2cfb8b63f78bfcf4ea1f21961b9cf49e

220919b6f36ae9505d13429e4013be9f

55c2a8bd2cd2e882fa3ca9065de263a1

70d8633492822c28e6cdf61250917c08

4997b818540e90aca36c910e9422009f

ce35a560faca8d2193e2f6fb1d5bbf84

9d38a2d307e6b95861d00603f18a2a4d

93743e4ba5b3607729304a7dd14b2ced

106ef839714757ba77228be9987669e0

7124347bfd1259ef51933fb262102f3e

8900e6e2e028afa95a4f6681c8adbb36

3fb9341fb11eca439b50121c6f7c59c7

00825e0b95f383594c423058436c9cbd

158eb6eaaf4728e485a4f03d70e4eaa7

65254c999e93859b1441eda254cc8903

ca1631eabff44c7a3130e9e2ed678d13

d977a95fd2932b7883aaad9bd5558475

d816dc166a73153560f618df02a47793

5e8343ce6c6e2894f46648c532b241e3

e36c6c58da6f5906294c7358afa9d241

2990b693444009c177efffa10c5c26bb

044417089984eaf3c5ba42416959683a

82dadcfdddc0d12a53f0d4c57e92bd36

8d4334a12b3004c16a39fd16c4f73db3

bc4fc9bdfa9cb4599396c25ff32998bb

 

参考链接：

https://twitter.com/cyb3rops/status/1336583694912516096

本文始发于微信公众号（奇安信威胁情报中心）：FireEye红队工具IOC披露