Positive Technologies
Новости

Продукты Positive Technologies выявляют применение пентестерских инструментов FireEye, похищенных хакерами

Система глубокого анализа трафика PT Network Attack Discovery, песочница PT Sandbox, система контроля защищенности MaxPatrol 8, система выявления инцидентов MaxPatrol SIEM и система анализа трафика сетей АСУ ТП PT Industrial Security Incident Manager обнаруживают активность инструментов, которыми пользовались специалисты компании FireEye для тестирования защищенности своих клиентов. Инструменты попали в руки злоумышленников в ходе недавней хакерской атаки.

Часть похищенного инструментария уже была публично доступна и весьма широко распространена, отмечают эксперты центра информационной безопасности Positive Technologies (PT Expert Security Center). Злоумышленники используют инструменты такого типа для развития атаки внутри инфраструктуры, закрепления в ней и для организации канала удаленного доступа. При этом преступники берут очередной инструмент на вооружение в первые несколько дней (а иногда и часов) после его возникновения. К примеру, группировка Cobalt начала использовать CVE-2017-11882 в своих атаках в течение суток с момента появления публичных данных об этой уязвимости.

Специалисты PT ESC проанализировали данные, которые опубликовали сотрудники FireEye для обнаружения применения злоумышленниками их инструментов (34 правила для Snort 1). Любые активности, на которые направлены эти правила, автоматически выявляются системой анализа трафика PT NAD: применение трех инструментов продукт выявляет «из коробки», а для вычисления активности четвертого инструмента эксперты PT ESC загрузили свежие правила детектирования. Таким образом, пользователям PT NAD самостоятельно адаптировать и загружать правила от FireEye не нужно. Технологические сети (сети АСУ ТП) сегодня также являются целями для преступных хакерских группировок. Поэтому необходимые индикаторы для обнаружения активности этих инструментов добавлены и в PT ISIM.

Кроме того, специалисты FireEye выпустили набор YARA-правил для выявления других инструментов тестирования защищенности. Эксперты PT ESC проанализировали их эффективность, выделили оптимальный пакет правил с минимальным уровнем false positive и добавили его в песочницу PT Sandbox, которая проводит комплексный анализ файлов в инфраструктуре. Эти правила позволят PT Sandbox детектировать применение похищенного инструментария, созданного на базе хорошо известных Cobalt Strike, Rubeus и Impacket, а также ряда узкоспециализированных инструментов FireEye.

FireEye также опубликовала список уязвимостей, которые ее собственные сотрудники из red team используют в том числе для тестов на проникновение. Система контроля защищенности MaxPatrol 8 выявит уязвимости, наиболее применимые к ПО в российских компаниях, что поможет ограничить эффективность инструментов FireEye. Эксплуатацию шести уязвимостей можно обнаружить с помощью PT NAD по анализу сетевого трафика. Система выявления инцидентов MaxPatrol SIEM с помощью анализа событий Windows выявляет активность шести наиболее популярных инструментов, которые используются в подавляющем большинстве атак, нацеленных на полную компрометацию инфраструктуры.

«Большинство правил обнаружения в MaxPatrol SIEM не привязано к конкретным группировкам и их инструментам, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Это значит, что с помощью одного правила система может задетектировать активность сразу нескольких схожих инструментов. Такой подход позволяет покрыть большое количество популярного хакерского софта».

«АРТ-группировки все чаще прибегают к так называемым атакам на цепь поставок — взломам организаций через их менее защищенных поставщиков или клиентов. Ситуация с FireEye не стала исключением, — комментирует Андрей Войтенко, директор по продуктовому маркетингу Positive Technologies. — Для защиты от подобных угроз недостаточно концентрироваться на предотвращении атак и контролировать только периметр, необходим мониторинг и глубокий анализ происходящего внутри сети, нужен инструментарий для своевременного выявления угроз».

  1. Опенсорсная система обнаружения и предотвращения вторжений.