Продукты Positive Technologies выявляют применение пентестерских инструментов FireEye, похищенных хакерами

Система глубокого анализа трафика PT Network Attack Discovery , песочница PT Sandbox , система контроля защищенности MaxPatrol 8 , система выявления инцидентов MaxPatrol SIEM и система анализа трафика сетей АСУ ТП PT Industrial Security Incident Manager обнаруживают активность инструментов, которыми пользовались специалисты компании FireEye для тестирования защищенности своих клиентов. Инструменты попали в руки злоумышленников в ходе недавней хакерской атаки.

Часть похищенного инструментария уже была публично доступна и весьма широко распространена, отмечают эксперты центра информационной безопасности Positive Technologies (PT Expert Security Center). Злоумышленники используют инструменты такого типа для развития атаки внутри инфраструктуры, закрепления в ней и для организации канала удаленного доступа. При этом преступники берут очередной инструмент на вооружение в первые несколько дней (а иногда и часов) после его возникновения. К примеру, группировка Cobalt начала использовать CVE-2017-11882 в своих атаках в течение суток с момента появления публичных данных об этой уязвимости.

Специалисты PT ESC проанализировали данные, которые опубликовали сотрудники FireEye для обнаружения применения злоумышленниками их инструментов ( 34 правила для Snort1). Любые активности, на которые направлены эти правила, автоматически выявляются системой анализа трафика PT NAD: применение трех инструментов продукт выявляет «из коробки», а для вычисления активности четвертого инструмента эксперты PT ESC загрузили свежие правила детектирования. Таким образом, пользователям PT NAD самостоятельно адаптировать и загружать правила от FireEye не нужно. Технологические сети (сети АСУ ТП) сегодня также являются целями для преступных хакерских группировок. Поэтому необходимые индикаторы для обнаружения активности этих инструментов добавлены и в PT ISIM.

Кроме того, специалисты FireEye выпустили набор YARA-правил для выявления других инструментов тестирования защищенности. Эксперты PT ESC проанализировали их эффективность, выделили оптимальный пакет правил с минимальным уровнем false positive и добавили его в песочницу PT Sandbox, которая проводит комплексный анализ файлов в инфраструктуре. Эти правила позволят PT Sandbox детектировать применение похищенного инструментария, созданного на базе хорошо известных Cobalt Strike, Rubeus и Impacket, а также ряда узкоспециализированных инструментов FireEye.

FireEye также опубликовала список уязвимостей , которые ее собственные сотрудники из red team используют в том числе для тестов на проникновение. Система контроля защищенности MaxPatrol 8 выявит уязвимости, наиболее применимые к ПО в российских компаниях, что поможет ограничить эффективность инструментов FireEye. Эксплуатацию шести уязвимостей можно обнаружить с помощью PT NAD по анализу сетевого трафика. Система выявления инцидентов MaxPatrol SIEM с помощью анализа событий Windows выявляет активность шести наиболее популярных инструментов, которые используются в подавляющем большинстве атак, нацеленных на полную компрометацию инфраструктуры.

«Большинство правил обнаружения в MaxPatrol SIEM не привязано к конкретным группировкам и их инструментам, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Это значит, что с помощью одного правила система может задетектировать активность сразу нескольких схожих инструментов. Такой подход позволяет покрыть большое количество популярного хакерского софта».

«АРТ-группировки все чаще прибегают к так называемым атакам на цепь поставок — взломам организаций через их менее защищенных поставщиков или клиентов. Ситуация с FireEye не стала исключением , — комментирует Андрей Войтенко, директор по продуктовому маркетингу Positive Technologies. — Для защиты от подобных угроз недостаточно концентрироваться на предотвращении атак и контролировать только периметр, необходим мониторинг и глубокий анализ происходящего внутри сети, нужен инструментарий для своевременного выявления угроз».

[1] Опенсорсная система обнаружения и предотвращения вторжений