概要
国家支援を受ける高度な技術を持つ攻撃者が、FireEyeがRed Teamに用いるツールを窃取しました。攻撃者はこれらのツールを所有していると考えており、また攻撃者が盗んだツール自体を使用したり公開したりするかどうかは不明であるため、FireEyeはこのブログをもって数百もの対策を公開し、多くのセキュリティコミュニティがそれらのツールから自らを保護できるようにしました。私たちはFireEye製品にもその対策を反映させ、パートナーである政府機関とこれらの対策を共有し、攻撃者がRed Teamツールを悪用する可能性を大幅に制限しています。
これらの対策のリストは、FireEyeのGitHubリポジトリにて公開されています。
Red Teamのツールとテクニック
Red Teamとは、可能性のある攻撃者による攻撃や情報窃取を模倣して企業のセキュリティ体制を評価する、セキュリティ専門家からなる組織化されたグループです。当社のRed Teamの目的は、攻撃が成功した場合の影響を実証し、防御体制 (Blue Teamなど) が運用環境でそれらに対抗する方法を示すことによって、企業のサイバーセキュリティを向上させることです。当社は、世界中のお客様に対して15年間にわたりRed Teamアセスメントを実施してきました。その間、私たちはお客様のセキュリティ体制改善に役立つスクリプト、ツール、スキャナ、テクニックを開発してきました。残念ながら、今回これらのツールが攻撃者の窃取の対象となりました。
盗まれたツールには、探査の自動化に使用される単純なスクリプトから、CobaltStrikeやMetasploitなどの一般的に利用可能な技術のようなフレームワーク全体に至るまでさまざまです。Red Teamツールの多くはすでにコミュニティにリリースされており、オープンソースの仮想マシンであるCommandoVMで配布されています。
一部のツールは、基本的なセキュリティ検知メカニズムを回避するために修正された公開ツールです。その他のツールやフレームワークは、Red Team用に社内で開発されたものです。
ゼロデイ攻撃や未確認技術は含まれず
窃取の対象となったRed Teamツールには、ゼロデイ攻撃ツールは含まれていませんでした。対象となったツールは、世界中の他のRed Teamも使用している、既知かつ文書化された手法を適用したものです。これらの盗まれたツールが攻撃者の総合的な攻撃能力の進歩に大きく寄与するとは考えていませんが、FireEyeは万が一の自体に備えて、できうることをすべて行っています。
FireEyeは、攻撃者によるこれらのツールの拡散や利用を確認しておりません。また、セキュリティ・パートナーとともに、今後も活動を監視し続けます。
検知技術の提供でコミュニティを支援
組織的にこれらのツールを検知していくための支援として、ツールが実際に使用された場合、それを見分けるために役立つ対策を公開しています。今回のRed Teamツールの窃取の対応として、OpenIOC、Yara、Snort、ClamAVなど、一般に利用可能な技術に対する数百の対策をリリースしています。
FireEye GitHubリポジトリにてその一覧を公開しています。新たな検知技術や、すでにリリースされている検知技術の改善が行われるごとに、公共レポジトリにおけるホスト、ネットワーク、ファイルベースのインジケータなどの対抗策をアップデートし続けます。さらに、GitHubページでRed Teamツールの効果を制限するために対処する必要があるCVEのリストを公開しています。
FireEye製品による顧客保護
FireEyeは、チーム一丸となって、お客様と広範なコミュニティを保護するための対策の構築に取り組んできました。これらの対策を製品に取り入れ、国土安全保障省などのパートナーと共有し、製品に対策を取り入れ、広くコミュニティに対応しています。
利用可能な検知シグネチャの詳細については、GitHubリポジトリを参照してください。