脆弱性

脅威に関する情報: FireEyeレッドチームツールの漏えいについて

Clock Icon < 1 min read

This post is also available in: English (英語)

概要

2020年12月8日に業界をリードするサイバーセキュリティ企業の1つ、FireEye が侵害とデータ漏出について報告しましたが、その内容が前例のないようなものとなっています。何が特異かといえば、標的となったFireEyeが有名サイバーセキュリティ企業であるというだけでなく、窃取されたデータのなかに、顧客へのセキュリティコンサルティングのために同社がさまざまな脅威アクターを模倣する用途で使う内製レッドチーム・侵入テストツールが含まれていた点です。FireEyeは同社ブログで防御側に豊富な情報を提供し、防御側が窃取されたツールに対してセキュリティコントロールや緩和策を実装できるようにしています。弊社も同社提供のデータを使い、攻撃者が悪意のある目的で窃取されたツールを利用しようとした場合でもお客様を確実に保護できるようにしています。

内製ツールの窃取は高度な脅威アクターによるもので、ツールは公開はされておらず、突然広く使用されることもないだろうと見られていることは知っておくべきでしょう。そうした前提はありつつも、FireEyeは検出技術の公開において、同社に求められる以上の(ほかの会社ではこれまでに公開したことがないような)内容の公開にまで踏み切っています。防御側にYaraルール、侵入の痕跡(IoC)、Snortシグニチャその他の脅威データへのアクセスを提供した同社の際立った対応は弊社の防御担当者やリサーチャーはじめ、業界全体でも非常に高く評価されています。

お客様の保護について

パロアルトネットワークスは、FireEyeの公開した保護をタイムリーに実装できるよう全力で取り組んできました。FireEyeはGithubリポジトリで、ルールのリストと16件の脆弱性CVE識別子を共有しています。脆弱性CVE識別子を共有した理由は、これらの脆弱性に対する十分な保護が行われていれば、レッドチームツールの効果を制限できるからのようです。

弊社はすでに、自社製品においてこれら脆弱性やエクスプロイトへの保護がすでに実装されているか、優先的に対応が進んでいることを確認しています。これら脆弱性は幅広い製品に及んでいますので、通常どおり、お客様には最新のアップデートを入手して脆弱なソフトウェアすべてにパッチを適用することを強くお勧めします。

保護を提供しているGithubリポジトリには、製品直接に実装したり、脅威ハンティングに利用できるルールが含まれています。パロアルトネットワークスではすべての安定したルールの有効性を分析したうえで各製品に取り込んでいます。FireEyeから提供されたYaraルールやSnortシグネチャを活用してのギャップ分析・脅威ハンティングにより、パロアルトネットワークスのリサーチャーは、潜在的なマルウェアサンプルを識別し、それらをWildFire内でタグ付けし、分析・追跡し、保護の作成をしているところです。また識別されたマルウェアサンプルの継続的な判定の有効性チェックがパロアルトネットワークス製品で進行中です。パロアルトネットワークスのAutoFocusをご利用中のお客様は、最初に識別されたサンプルとツールをFireye_RedTeam_ToolsRubeusAndrewSpecialKeeFarceSafetyKatz、 InveighZeroGadgetToJScriptSeatBeltRuralBishopSharpviewSharpZeroLoginの各タグで追跡できます。私たちのCortex XDR Managed Threat Hunting Team (XDRマネージド脅威ハンティングチームMTH) は、すべてのCortex XDR Pro顧客ログを積極的に検索し、影響を受ける可能性のある組織を特定し、リスク評価を提供しています。

脅威防御は、コマンド&コントロールのビーコンに対する保護と、窃取されたツールが使用するネットワーク脆弱性のエクスプロイトに対する保護を提供します。次の表に、パロアルトネットワークスのユニバーサル脅威ID(UTID)と、提供されたFireEye SIDとをマッピングした概要を示します。

Snort ルール パロアルトネットワークスのUTID FireEyeのSID
Backdoor.HTTP.BEACON.[CSBundle Original Stager] 86215 25879
Backdoor.HTTP.BEACON.[CSBundle MSOffice POST] 86216 25889
Backdoor.HTTP.BEACON.[CSBundle USAToday GET] 86217 25892
Backdoor.HTTP.BEACON.[CSBundle MSOffice Server] 86219 25888
Backdoor.HTTP.BEACON.[CSBundle Original GET] 86220 25877
Backdoor.HTTP.GORAT.[Build ID] 86221 25850
Backdoor.HTTP.BEACON.[CSBundle Original POST] 86222 25878
Backdoor.HTTP.GORAT.[SID1] 86223 25848
Backdoor.HTTP.BEACON.[CSBundle Original Server] 86225 25874
Backdoor.HTTP.BEACON.[CSBundle Original Server 3] 86227 25876

表1 パロアルトネットワークスのUTIDとFyreEyeのSIDとのマッピング

CVE パロアルトネットワークスのUTID
CVE-2019-0708 55815
CVE-2017-11774 56002
CVE-2018-15961 38319
CVE-2019-19781 57570, 57497 および 57625
CVE-2019-3398 55567
CVE-2019-11580 56036
CVE-2018-13379 56365
CVE-2020-0688 57947 および 57766
CVE-2019-11510 56280
CVE-2019-0604 55411, 57462 および 56363
CVE-2020-10189 57801
CVE-2019-8394 59061
CVE-2020-1472 59336
CVE-2018-8581 55152
CVE-2016-0167 392102205
CVE-2014-1812 90128

表2: CVE と UTID とのマッピング

結論

弊社製品をご利用中のお客様に対し、同侵害ならびに実際に識別されたすべての脅威に対する製品組み込みの保護は継続的に更新されます。パロアルトネットワークスは、FireEyeからの情報開示に感謝するとともに、本稿公開時点ではツールやツールのハッシュ値、関連サンプルはまだ一般に公開されていない点も強調しておきたいと思います。パロアルトネットワークスセキュリティリサーチャーの観点で、同侵害で最大の脅威は、FireEyeのインフラストラクチャへの侵入したアクターと彼らが侵入のために利用した技術です。現時点では、侵害や脅威アクターの戦術、技術、手順(TTP)に関する情報は公開されていません。お客様には、パロアルトネットワークスのリサーチャーが製品のエコシステム全体を確実に保護するため全力で取り組みを続けていることを知っておいていただければと思います。

更新履歴

2020-12-15 「お客様の保護について」のセクションに、以下のタグ名を追加しました。
AndrewSpecial
KeeFarceSafetyKatz、 InveighZeroGadgetToJScriptSeatBeltRuralBishop
2020-12-15 「お客様の保護について」のセクションで、「XDR」を「Cortex XDR」に修正しました。
2020-12-15 表2 「CVEとUTIDとのマッピング」に最終行 CVE-2014-1812 と対応する PANW UTID の 90128 を追記しました。

 

Enlarged Image